米国連邦捜査局(FBI: Federal Bureau of Investigation)は12月17日(米国時間)、Zohoの「ManageEngine Desktop Central」における脆弱性「CVE-2021-44515」が積極的なサイバー攻撃に悪用されているとして、「FBI FLASH」を発行して警告を行った。CVE-2021-44515は、ManageEngine Desktop Centralに発見されたリモートから任意のコードを実行可能な脆弱性で、重要度は「Critical」に分類されている。
Zohoは12月3日、CVE-2021-44515に対する次のセキュリティアドバイザリを公開している。
この脆弱性を悪用されると、攻撃者は対象の製品に対して認証をバイパスして任意のコードを実行することができる。
FBIによると、APT(Advanced Persistent Threat)アクターは少なくとも2021年10月下旬以降からこの脆弱性を積極的に悪用していることを確認したという。脆弱性を悪用して侵害に成功したAPTアクターは、ManageEngine Desktop Centralの正規の機能を上書きするWebシェルをダウンロードした上で、ドメインのユーザーとグループ、ネットワークを偵察し、C2(コマンド&コントロール)サーバと通信する攻撃の永続化のためのコードをインストールし、認証情報やメモリダンプなどの盗み出しを試みるという。
FBI FLASHには、これらの攻撃に対する侵入の痕跡(IoC)とYARAルール、具体的な攻撃の手順、および緩和策が含まれている。FBIでは、ネットワーク内で該当のIoCに関連する活動を確認した組織は直ちに対策を講じるように警告している。
なお、CVE-2021-44515の影響を受けるバージョン、および脆弱性が修正されたバージョンは次のとおりとなっている。
- Desktop Central Enterprise Edition バージョン10.1.2127.17 (バージョン10.1.2127.18で修正)
- Desktop Central Enterprise Edition バージョン10.1.2128.0から10.1.2137.2 (バージョン10.1.2137.3で修正)
- Desktop Central MSP バージョン 10.1.2127.17 (バージョン10.1.2127.18で修正)
- Desktop Central MSP バージョン10.1.2128.0から10.1.2137.2 (バージョン10.1.2137.3で修正)