Af Eskil Sørensen, 08/10/20
Den nye sårbarhed Zerologon, som CISA har udsendt en emergency directive om til amerikanske myndigheder, tiltrækker sig stadig opmærksomhed fra forskellige kredse.
Det viser en artikel i Security Affairs, der skriver om, hvordan en sårbarhed i et wordpresslogin kan bruges til at udnytte Zerologon-sårbarheden til at angribe virksomheders domænecontrollere.
Zerologon-sårbarheden har den egenskab, at den gør det muligt for en ondsindet aktør med fodfæste på et internt netværk at blive Domain Admin med kun et klik. Dette scenarie kan ske, når kommunikation med domænecontrolleren kan udføres fra angriberens udgangspunkt.
Selvom kommunikation med det interne netværk og Domain Controller kun kan ske på intranettet, har mange netværk svage politikker og en dårlig arkitektur baseret på netværkssegregering og –segmentering. Dette kan fx tillade, at webservere - placeret på DMZ - også kan kommunikere internt med de interne netværksaktiver og med domænecontrollerne. Netværkssegmentering indebærer, at et netværk kan partitioneres ned i mindre netværk, mens netværkssegregering involverer udvikling og håndhævelse af et regelsæt til styring af kommunikationen mellem specifikke værter og tjenester.
For at udnytte dette kan angribere udefra udnytte en sårbarhed i Wordpress-plugin'et File Manager, som tillader afvikling af vilkårlig kode på serversiden (RCE-sårbarhed). Sårbarheden med CVE-nummeret CVE-2020-25213 og scoren 9,8 på CVSS-skalaen kan bruges til at afvikle en webshell på den sårbare wordpress-side. Herfra kan der etableres en fjernadgang med udvidede privilegier. Ifølge Security Affairs har adskillige grupper brugt denne sårbarhed til at få fodfæste i interne netværk.
Ifølge Wordfence var der udført angreb på 2.6 mio sites i midten af september og sårbarheden, som påvirker WP-manager plugin’et i Wordpress, fortsætter med at blive udnyttet.
Links:
https://securityaffairs.co/wordpress/109175/hacking/zerologon-dc-hack.html