De FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid waarschuwen voor actief misbruik van een kritieke kwetsbaarheid in Zoho ManageEngine ServiceDesk Plus. Dit is software waarmee helpdesks allerlei taken kunnen uitvoeren, zoals incidentmanagement, het beheer van supporttickets en het genereren van rapportages.

Een kritieke kwetsbaarheid (CVE-2021-44077) in de software maakt het mogelijk voor een aanvaller om zonder inloggegevens willekeurige bestanden op de ServiceDesk Plus-server te installeren. Zo is het mogelijk om uitvoerbare bestanden of webshells op de server te plaatsen waarmee er toegang tot de server wordt behouden en verdere aanvallen mogelijk zijn.

Softwareontwikkelaar Zoho kwam op 16 september met een beveiligingsupdate voor het probleem en verstuurde klanten een e-mail. Tien dagen geleden liet Zoho weten dat er actief misbruik van de kwetsbaarheid wordt gemaakt. Nu hebben de FBI en het CISA meer details over deze aanvallen gegeven, zoals gebruikte technieken en tactieken.

Zoho heeft verder een exploit-detectietool beschikbaar gemaakt waarmee organisaties kunnen controleren of hun servers zijn gecompromitteerd. De Amerikaanse overheidsdiensten stellen dat het lastig kan zijn om te bevestigen dat een ServiceDesk Plus-server is gecompromitteerd. De aanvallers verwijderen namelijk allerlei sporen, alsmede de manier waarop ze binnenkwamen en proberen elke link tussen misbruik van het lek en de geïnstalleerde webshell te verbergen.