Hati-hati! Bug di Peranti Lunak ManageEngine Zoho sedang Dieksploitasi Peretas
Zoho, induk dari perusahaan TI ManageEngine. | Foto: gccbusinessnews.com
Cyberthreat.id – Geng peretas canggih yang diduga mendapat dukungan negara tertentu—seringkali disebut Advanced Persistent Threat (APT)—ditengarai sedang mengeksploitasi kerentanan pada perangkat lunak ADSelfService Plus.
Peringatan itu dikeluarkan gabungan oleh FBI, CISA, dan Coast Guard Cyber Command Amerika Serikat, Kamis (16 September 2021).
“Nasihat bersama ini adalah hasil dari analisis antara FBI, CGCyber, dan CISA menyoroti ancaman siber terkait kerentanan baru yang teridentifikasi sebagai CVE-2021-40539 di ManageEngine ADSelfService Plus,” demikian pernyataan bersama mereka, dikutip dari Security Affairs, diakses Jumat (17 September).
ADSelfService Plus adalah perangkat lunak yang dikeluarkan oleh ManageEngine, perusahaan TI di bawah naungan Zoho Corp yang berbasis di India. Peranti lunak ini dipakai untuk mengelola kata sandi toko online dan solusi login tunggal.
Dalam pernyataan tersebut disebutkan, bahwa eksploitasi ManageEngine ADSelfService Plus bisa menimbulkan risiko serius bagi perusahaan infrastruktur penting, kontraktor pertahanan yang disetujui AS, lembaga akademik, dan entitas lain yang menggunakan perangkat lunak tersebut.
Di sisi lain, dengan kerentanan itu, peretas dapat menaruh web shell (pintu belakang) yang memungkinkan musuh melakukan aktivitas pasca-eksploitasi, seperti mengkompromikan kredensial administrator, melakukan gerakan lateral, dan mengekstrak kumpulan registri dan file Active Directory.
Pada awal September, Zoho memang telah merilis patch keamanan untuk mengatasi kerentanan bypass autentikasi tersebut (CVE-2021-40539). Perusahaan juga memperingatkan kerentanan sudah dieksploitasi dalam serangan di alam liar.
Menurut perusahaan, kerentanan berada di URL API REST di ADSelfService Plus dan dapat menyebabkan eksekusi kode jarak jauh (RCE).
“Kerentanan ini memungkinkan penyerang mendapatkan akses tidak sah ke produk melalui titik akhir REST API dengan mengirimkan permintaan yang dibuat khusus. Ini akan memungkinkan penyerang untuk melakukan serangan berikutnya yang menghasilkan RCE.”
“Ini adalah masalah kritis. Kami melihat indikasi kerentanan ini dieksploitasi,” tambah Zoho.
Cacat tersebut memengaruhi rilis ADSelfService Plus 6113 dan versi sebelumnya dan diperbaiki dengan rilis build 6114 atau lebih baru.
FBI, CISA, dan CGCYBER sangat menyarankan pengaturan ulang kata sandi di seluruh domain dan pengaturan ulang kata sandi pada sistem keamanan Kerberos “Ticket Granting Ticket” (TGT) jika ada indikasi ditemukan bahwa file NTDS.dit telah disusupi.[]
