聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

美国网络安全和基础设施安全局 (CISA) 督促组织机构应用 Zoho ManageEngine 服务器的最新安全更新，修复已遭在野利用一周多的0day (CVE-2021-40539)。

该漏洞影响印度公司 Zoho 的密码管理和单点登录 (SSO) 解决方案 Zoho ManageEngine ADSelfService Plus。

Zoho 公司发布安全公告称，该0day是认证绕过漏洞，可经由 ADselfService Plus REST API URL 利用，可导致攻击者在底层 Zoho 服务器上执行恶意代码。CISA 表示，“远程攻击者可利用该漏洞控制受影响系统。”

在 Confluence 攻击前遭利用的 0day

安全公司 CrowdStrike 的首席情报分析师 Matt Dahl 表示，该 Zoho 0day 已遭在野攻击长达一周多的时间，甚至在 Confluence 服务器遭攻击之前就已开始。Dahl 指出这些攻击是定向攻击，很可能是由同一个威胁行动者执行的。他指出，“攻击者似乎具有清晰的目标，能够快速实施攻击并退出。“

目前尚未出现关于该漏洞的利用代码或技术报告讨论，说明威胁行动者是自行发现漏洞而非武器化公开代码。

如何检测利用

企业和系统管理员可按照下述步骤调查自己的系统是否已遭攻陷：

在文件夹 “\ManageEngine\ADSelfService Plus\logs” 中搜索如下所列字符串的访问日志条目：

1、/RestAPI/LogonCustomization

2、/RestAPI/Connection

如在日志中发现上述任意一个条目，则说明安装已受影响。

截至本文写作之时，可从互联网访问超过1.1万台Zoho ManageEngine服务器。

这是今年第二个已遭在野利用的重大 Zoho ManageEngine 0day。第一个是 CVE-2020-10189，它被密币挖矿机、勒索团伙和 APT 团伙遭利用，而且NSA表示该漏洞是2020年最常被用于在服务器上植入 web shell的漏洞之一。

【开奖啦！！！！！】

限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市

上次的限时赠书活动中奖名单已出炉，恭喜以下同学中奖，请未填写地址的同学在微信后台私信地址，我们已经发出部分书籍啦。

@whyseu @。@HFwuhome@惊蛰 @nimo @XuZ @淡然 @Marco韬 @王孟 @Wecat@nwnλ @MOBE @湘北二两西香葱@※ @搬砖小土妞@云烟过眼 @r00t@小风 @傲雪@最好走的路是套路 @Zhao.xiaojun @浅笑淡然 @X-Star @Erick2013 @小秦同学 @X @王骏 @欢寻 @nbp@Mr. Guo

大家可移步京东电子工业出版社一睹为快！或直接点击“原文链接”购买。

如下是本书相关讲解:

推荐阅读

FireEye 红队失窃工具大揭秘之：分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)

FireEye红队失窃工具大揭秘之：分析复现Zoho ManageEngine RCE (CVE-2020-10189)

研究员拒绝提前通知，Zoho 匆忙修复一个严重的 0day

原文链接

https://therecord.media/cisa-warns-of-zoho-server-zero-day-exploited-in-the-wild/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~