Pada September 16, 2021, dikutip dari website milik Cybersecurity & Infrastructure Security Agency (CISA), diberitakan ada indikasi yang menunjukkan terjadinya "active exploitation" oleh Threat Actors pada celah (CVE-2021-40539) yang terdapat pada ManageEngine ADSelfService Plus (sebuah solusi dari ManageEngine untuk self-service password management dan single sign-on). Indikasi ini berhasil ditemukan oleh tim analis gabungan dari Federal Bureau of Investigation (FBI), United States Coast Guard Cyber Command (CGCYBER), dan The Cybersecurity and Infrastructure Security Agency (CISA).

Celah CVE-2021-40539, diberikan nilai atau digolongkan sebagai kategori "critical" oleh Common Vulnerability Scoring System (CVSS). Dimana CVSS merupakan sebuah standar industri yang free dan open, digunakan pada Cyber Security untuk menilai tingkat keparahan pada celah keamanan sistem komputer. Celah yang diinformasikan pada CVE-2021-40539 termasuk kategori "authentication bypass vulnerability", dimana Threat Actors dapat menerobos masuk kedalam sistem dengan melakukan bypass terhadap proses authentication, yang kemudian dapat menyebabkan Threat Actors melakukan remote code exection (aktivitas mengeksekusi malicious code pada target mesin/sistem, dari jarak jauh).

Akibat dari eksploitasi celah pada ManageEngine ADSelfService Plus, hal ini dapat menimbulkan resiko yang serius pada perusahaan infrastruktur kritikal seperti perusahaan minyak & gas, pembangkit tenaga listrik, dll, kemudian ada juga kontraktor pertahanan/militer, institusi akademis, dan perusahaan lainnya yang menggunakan software tersebut.

Jika Threat Actors berhasil mengeksploitasi celah tersebut dan memasang backdoor, webshells atau sejenisnya, hal ini memungkinkan Threat Actors untuk melakukan post-exploitation activities. Misalnya mendapatkan kredensial dari administrator sistem, melakukan lateral movement (berpindah dari satu target ke target lain yang masih dalam 1 jaringan), dan mengekstrak/mengambil secara diam-diam registry dan file dari server.

Bagaimana cara melakukan mitigasinya?

ManageEngine selaku penyedia software tersebut sudah mengeluarkan update patch terbarunya dalam link berikut ini, update patch ManageEngine ADSelfService Plus build 6114.

Dan bagi perusahaan yang menggunakan ManageEngine ADSelfService Plus, sangat direkomendasikan untuk melakukan update patch ke patch tersebut. Kemudian, untuk dapat mengecek apakah sistem sudah ter-compromise atau tidak, dapat mengecek pada Indicators of Compromise (IoC) berikut ini:

Hashes:

068d1b3813489e41116867729504c40019ff2b1fe32aab4716d429780e666324
49a6f77d380512b274baff4f78783f54cb962e2a8a5e238a453058a351fcfbba

File paths:

C:\ManageEngine\ADSelfService Plus\webapps\adssp\help\admin-guide\reports\ReportGenerate.jsp
C:\ManageEngine\ADSelfService Plus\webapps\adssp\html\promotion\adap.jsp
C:\ManageEngine\ADSelfService Plus\work\Catalina\localhost\ROOT\org\apache\jsp\help
C:\ManageEngine\ADSelfService Plus\jre\bin\SelfSe~1.key (nama file bervariasi dengan stempel waktu pembuatan, ekstensi juga dapat bervariasi)
C:\ManageEngine\ADSelfService Plus\webapps\adssp\Certificates\SelfService.csr
C:\ManageEngine\ADSelfService Plus\bin\service.cer
C:\Users\Public\custom.txt
C:\Users\Public\custom.bat
C:\ManageEngine\ADSelfService Plus\work\Catalina\localhost\ROOT\org\apache\jsp\help (termasuk subdirectories dan isi file)

Webshell URL Paths:

/help/admin-guide/Reports/ReportGenerate.jsp
/html/promotion/adap.jsp

Melakukan cek pada file log yang berlokasi di C:\ManageEngine\ADSelfService Plus\logs untuk bukti berhasilnya eksploitasi pada celah di ManageEngine ADSelfService Plus:

In access* logs:
    /help/admin-guide/Reports/ReportGenerate.jsp
    /ServletApi/../RestApi/LogonCustomization
    /ServletApi/../RestAPI/Connection

In serverOut_* logs:
    Terdapat "keystore" untuk "admin"
    Statusnya dari keystore = Upload!

In adslog* logs:
    Error dari Java traceback yang termasuk juga me-refer pada NullPointerException di addSmartCardConfig atau getSmartCardConfig

Dengan melakukan tindakan pencegahan seperti melakukan update patch dan juga pengecekan pada sistem yang menjadi target, kita sudah melakukan tindakan yang tepat terhadap informasi yang kita dapat mengenai ancaman yang mungkin terjadi kepada perusahaan kita. Sangatlah penting bagi professional keamanan cyber untuk terus update mengenai ancaman dan trend yang terjadi, terutama yang bersangkutan dengan sistem yang diimplementasikan pada perusahaan mereka.

Cyber Threat Intelligence, merupakan platform yang tepat bagi para professional keamanan cyber untuk tetap terus update dengan informasi mengenai threat actor yang sedang aktif beserta target industrinya, zero-day vulnerabilities pada sebuah perangkat ataupun sistem, credentials leak dan masih banyak lagi. Diharapkan, informasi ancaman yang cepat didapatkan, akan berguna bagi perusahaan dalam melakukan pencegahan.

Source:

• https://us-cert.cisa.gov/ncas/alerts/aa21-259a

• https://otx.alienvault.com/indicator/cve/CVE-2021-40539

• https://cwe.mitre.org/data/definitions/287.html