Sicherheitslücke

APT-Angreifer weiten Attacken auf ManageEngine ServiceDesk Plus aus

, München, Unit 42 | Autor: Herbert Wieler

APT-Angreifer weiten Attacken auf ManageEngine ServiceDesk Plus aus

Im Laufe von drei Monaten hat ein hartnäckiger und entschlossener APT-Angreifer mehrere Kampagnen gestartet, die nun zu Kompromittierungen bei mindestens vier weiteren Organisationen geführt haben, insgesamt also 13. Mehrere der betroffenen Organisationen gehören zu den kritischen Infrastrukturen der USA, darunter Verteidigung, Transport, Gesundheitswesen und Energie.

Am 16. September 2021 veröffentlichte die U.S. Cybersecurity and Infrastructure Security Agency (CISA) eine Warnung, dass APT-Akteure (Advanced Persistent Threats) aktiv neu identifizierte Schwachstellen in einer Self-Service-Passwortmanagement- und Single-Sign-On-Lösung namens ManageEngine ADSelfService Plus ausnutzen. Aufbauend auf den Erkenntnissen dieses ersten Berichts deckte Unit 42 am 7. November eine zweite, noch mehr ausgefeilte, aktive und schwer zu entdeckende Kampagne auf, die zur Kompromittierung von mindestens neun Organisationen geführt hatte.

Im Laufe des letzten Monats hat Unit 42 beobachtet, dass der Bedrohungsakteur seinen Fokus über ADSelfService Plus hinaus auf andere anfällige Software ausgeweitet hat. Vor allem zwischen dem 25. Oktober und dem 8. November verlagerte der Akteur seine Aufmerksamkeit auf mehrere Organisationen, die ein anderes Zoho-Produkt namens ManageEngine ServiceDesk Plus einsetzen.

Die Security-Forscher von Unit 42 verfolgen die kombinierten Aktivitäten nun als TiltedTemple-Kampagne. In ihrem Blog vom 7. November stellten sie fest, dass „die Zuordnung noch im Gange ist und wir nicht in der Lage waren, den Akteur hinter der Kampagne zu bestätigen, aber wir haben einige Korrelationen zwischen den Taktiken und Werkzeugen, die in den von uns analysierten Fällen verwendet wurden, und der Threat Group 3390 (TG-3390, Emissary Panda, APT27) festgestellt“.

Zum jetzigen Zeitpunkt lässt sich feststellen, dass die Korrelation zu diesen Taktiken und Werkzeugen korrekt ist, aber die Zuordnung ist noch nicht abgeschlossen. In Übereinstimmung mit den Erkenntnissen des Microsoft Threat Intelligence Center (MSTIC) überschneiden sich einige Teile von TiltedTemple, insbesondere die Angriffe vom September, bei denen ManageEngine ADSelfService Plus ausgenutzt wurde, mit Aktivitäten, die mit DEV-0322 in Verbindung gebracht werden. Dabei handelt es sich laut MSTIC um „eine Gruppe, die von China aus operiert, basierend auf der beobachteten Infrastruktur, Viktimologie, Taktik und den Verfahren“.

ServiceDesk Plus ist eine Helpdesk- und Asset-Management-Software. Am 22. November veröffentlichte Zoho einen Sicherheitshinweis, in dem Kunden auf die aktive Ausnutzung der neu registrierten Sicherheitslücke CVE-2021-44077 hingewiesen wurden. Die Schwachstelle betrifft die ServiceDesk Plus-Versionen 11305 und darunter. Die Forscher konnten zwar keinen öffentlich zugänglichen Proof-of-Concept-Code für diese Schwachstelle finden, aber es ist jetzt klar, dass der Täter erfolgreich herausgefunden hat, wie er ungepatchte Versionen der Software ausnutzen kann. Außerdem wurde beobachtet, wie der Täter nach der Ausnutzung der Schwachstelle einen neuen Dropper auf die Systeme der Opfer hochgeladen hatte. Ähnlich wie bei der vorherigen Taktik, die gegen die ADSelfService-Software eingesetzt wurde, setzt dieser Dropper eine Godzilla-Webshell ein, die dem Angreifer weiteren Zugang zu den Systemen der Opfer verschafft.

Weltweit gibt es über 4.700 internetfähige Instanzen von ServiceDesk Plus, von denen 2.900 – oder 62 Prozent – als anfällig für einen Angriff eingestuft werden. Angesichts des bisherigen Erfolgs des Täters und der fortgesetzten Aufklärungsaktivitäten gegen eine Vielzahl von Branchen (einschließlich der Infrastruktur von fünf US-Bundesstaaten) gehen die Forscher davon aus, dass die Zahl der Opfer weiter steigen wird.

Unit 42 empfiehlt allen Unternehmen, anfällige Software in ihren Umgebungen zu patchen.

Schutz- und Abhilfemaßnahmen

Für Kunden von Palo Alto Networks bieten die folgenden Produkte und Dienste im Zusammenhang mit dieser Kampagne die folgenden Schutzmaßnahmen:

  • Threat Prevention bietet Schutz vor den Godzilla-Webshells. Die Threat-IDs 81803, 81815, 81816, 81817 und 81819 decken die verschiedenen Abweichungen im Datenverkehr in den Formaten .net, java, php und asp dieser Webshell ab. Diese Schutzmaßnahmen sind seit dem 28. April 2021 in Kraft. Threat ID 91949 (Zoho ManageEngine ServiceDesk Plus File Upload Vulnerability) bietet Schutz vor CVE-2021-44077.
  • Cortex XDR schützt Endpunkte und identifiziert den in dieser Kampagne verwendeten Dropper als bösartig. Darüber hinaus verfügt Cortex XDR über mehrere Erkennungen für laterale Bewegungen und den Diebstahl von Anmeldeinformationen, die von diesem Akteur eingesetzt werden.
  • Der cloudbasierte Bedrohungsanalysedienst WildFire identifiziert den in dieser Kampagne verwendeten Dropper als bösartig.
  • Cortex Xpanse kann die Server von Zoho ManageEngine ADSelfService Plus und ServiceDesk Plus in Kundennetzwerken genau identifizieren und feststellen, ob sie für diese Angriffe anfällig sind oder nicht.

Palo Alto Networks hat diese Erkenntnisse, einschließlich Dateimustern und Indikatoren für eine Gefährdung, mit den anderen Mitgliedern der Cyber Threat Alliance geteilt. Die CTA-Mitglieder nutzen diese Erkenntnisse, um ihren Kunden schnell Schutzmaßnahmen zu bieten und böswillige Cyberakteure systematisch zu stören.