Palo Alto Temukan Penjahat Siber Eksploitasi Peranti Lunak ManageEngine Zoho

Cyberthreat.id – Peneliti keamanan siber Divisi Unit42 Palo Alto Networks menemukan aktivitas serangan siber yang masih berlanggsung dengan taget keretanan perangkat lunak Zoho.

Zoho Corp. adalah perusahaan perangkat lunak asal India yang terkenal dengan program online office suite.

Menurut peneliti, peretas mengeksploitasi kerentanan kritis pada alat ManageEngine ADSelfService Plus. Padahal, perusahaan telah mengeluarkan tambalan untuk kerentanan yang dilabeli CVE-2021-40539 ini.

ADSelfService Plus adalah perangkat lunak yang dikeluarkan oleh ManageEngine, perusahaan TI di bawah naungan Zoho Corp. Peranti lunak ini dipakai untuk mengelola kata sandi dan solusi login tunggal (single sign-on).

Laporan Palo Alto Network tersebut keluar setelah Badan Keamanan Siber dan Infrastruktur AS (CISA) pada September lalu juga mengeluarkan nasehat keamanan besama FBI dan Coast Guard Cyber Command (CGCYBER) tentang akor jahat yang mengeksploitasi kerentanan peranti lunak Zoho. (Baca: Hati-hati! Bug di Peranti Lunak ManageEngine Zoho sedang Dieksploitasi Peretas)

Eksploitasi pada ADSelfService Plus bisa menimbulkan risiko serius bagi perusahaan kritis. Peretas dapat menaruh web shell (pintu belakang) yang memungkinkan beraktivitas pasca-eksploitasi, seperti mengkompromikan kredensial administrator, melakukan gerakan lateral, dan mengekstrak kumpulan registri dan file Active Directory.

“Kami menduga penjahat siber tersebut menargetkan setidaknya 370 server ManageEngine di Amerika Serikat saja,” tutur peneliti dikutip dari Tech Radar, diakses Selasa (9 November 2021).

“Mengingat skalanya, kami menilai bahwa pemindaian [yang dilakukan penyerang, red] ini sebagian besar bersifat tidak pandang bulu karena target berkisar dari lembaga pendidikan hingga Departemen Pertahanan,” peneliti menambahkan.

Upaya untuk mengeksploitasi kerentanan Zoho dimulai pada 22 September, tulis peneliti, setelah pengintaian selama lima hari untuk mengidentifikasi target potensial yang belum menambal sistem mereka.

Karena operasi serangan masih berlangsung, sulit untuk mengukur cakupan dampak. Namun, para peneliti melihat sedikitnya sembilan sektor organisasi yang rentan diserang, di antaranya pertahanan, perawatan kesehatan, energi, teknologi, dan pendidikan.

“Unit 42 percaya bahwa tujuan utama aktor adalah mendapatkan akses terus-menerus ke jaringan dan pengumpulan serta eksfiltrasi dokumen sensitif dari organisasi yang disusupi,” kata peneliti.

Dalam penelitiannya, peneliti juga mengamati bahwa setelah meretas server menggunakan kerentanan Zoho, peretas mengunggah payload yang menerapkan webshell berjuluk “Godzilla” guna mengakses terus-menerus ke server yang disusupi.

Backdoor (pintu belakang) itu kemudian digunakan untuk menerapkan alat tambahan, seperti varian khusus dari “pintu belakang” sumber terbuka yang disebut “NGLite” dan alat pemanen kredensial yang dikenal sebagai “KdcSponge”.[]