# CVE-2021-40539 ## Resumo CVE-2021-40539 é uma vulnerabilidade crítica de **bypass de autenticação** no ManageEngine ADSelfService Plus da Zoho - uma solução de gerenciamento de senha self-service e Single Sign-On (SSO) amplamente utilizada por empresas. A falha afeta as URLs de API REST do produto, permitindo que um atacante remoto não autenticado contorne o filtro de segurança e acesse endpoints privilegiados, resultando em execução remota de código. O FBI, CISA e o United States Coast Guard Cyber Command (CGCYBER) emitiram um advisory conjunto (AA21-259A) em setembro de 2021, alertando que grupos APT - incluindo atores estatais avançados - estavam explorando ativamente a vulnerabilidade desde agosto de 2021. Dado que o ADSelfService Plus integra diretamente com o Active Directory, a comprometimento resulta frequentemente na exfiltração de credenciais de domínio e acesso à infraestrutura crítica. ## Detalhes Técnicos - **Tipo:** Authentication Bypass / RCE - **Vetor:** Network - **Complexidade:** Low - **Pré-autenticação:** Sim - **Versões afetadas:** ADSelfService Plus build 6113 e todos os builds anteriores - **Versão corrigida:** Build 6114 (liberado em 06/09/2021) - **CWE:** CWE-287 (Improper Authentication) ### Funcionamento Técnico As URLs de API REST do ADSelfService Plus são protegidas por um filtro de segurança específico. A vulnerabilidade existe porque esse filtro não normaliza corretamente as URLs antes da válidação. Um atacante pode enviar URLs de API REST especialmente construídas com caracteres de traversal de caminho (como `/../RestAPI` ou `/./RestAPI`) que contornam o filtro, obtendo acesso direto aos endpoints REST sem autenticação. Após obter acesso não autenticado à API, o atacante pode fazer upload de um arquivo `.zip` contendo um webshell JSP mascarado como certificado x509 (`service.cer`). Subsequentemente, o webshell permite execução arbitrária de comandos, movimentação lateral e exfiltração de dados do Active Directory. ## Exploração O FBI, CISA e CGCYBER documentaram exploração ativa desde pelo menos agosto de 2021, atribuída a grupos APT não identificados públicamente no advisory, mas com características de atores estatais. O [[g0096-apt41|APT41]] (grupo chinês) foi posteriormente associado à exploração desta e de outras vulnerabilidades ManageEngine. As organizações-alvo incluíram contratados de defesa dos EUA, instituições acadêmicas e entidades de infraestrutura crítica nos setores de transporte, TI, manufatura, comúnicações, logística e financeiro. Após comprometimento inicial, os atacantes foram observados: implantando webshells em múltiplos caminhos, usando WMI para movimentação lateral, despejando credenciais (`NTDS.dit`, hives de registro SECURITY/SYSTEM/NTUSER), executando scripts de limpeza para apagar rastros da exploração inicial e exfiltrando arquivos de banco de dados ManageEngine. A exploração desta vulnerabilidade foi também observada pela CrowdStrike em 2023, sinalizando interesse continuado de atores de ameaça. ## Attack Flow ```mermaid graph TB A["📡 Reconhecimento<br/>Identificação de ADSelfService Plus<br/>exposto na internet"] --> B["💥 Auth Bypass<br/>URL com path traversal<br/>contorna filtro de segurança REST API"] B --> C["🔑 Upload de Webshell<br/>Upload de arquivo .zip<br/>com JSP mascarado de certificado"] C --> D["🛡️ Execução Remota<br/>Webshell permite comandos<br/>arbitrários no servidor"] D --> E["📤 Credential Dump<br/>Exfiltração de NTDS.dit<br/>e hives de registro do AD"] E --> F["🔗 Movimentação Lateral<br/>Acesso a toda infraestrutura<br/>via credenciais de domínio"] ``` ## Relevância LATAM/Brasil > [!latam] Impacto Regional > O ManageEngine ADSelfService Plus e outros produtos Zoho ManageEngine possuem adoção significativa em organizações brasileiras de médio e grande porte, especialmente nos setores financeiro, governo e telecomúnicações. A integração direta com Active Directory torna esta vulnerabilidade particularmente perigosa, pois o comprometimento resulta em acesso total à infraestrutura de identidade corporativa. > > Grandes bancos brasileiros, órgãos do governo federal e empresas de telecomúnicações utilizam soluções ManageEngine para gestão de identidade e self-service de senha. O APT41, associado à exploração desta CVE, tem histórico documentado de operações contra alvos na América Latina, incluindo campanhas de espionagem contra setores de tecnologia e telecomúnicações no Brasil e México. > > O CTIR Gov (Centro de Tratamento e Resposta a Incidentes do Governo Federal) recomenda que organizações governamentais brasileiras verifiquem suas instalações ManageEngine e apliquem patches prioritariamente. A exposição de credenciais de domínio Active Directory pode comprometer cadeias inteiras de acesso em órgãos federais interconectados. ## Mitigação 1. Atualizar imediatamente para ADSelfService Plus build 6114 ou superior 2. Se comprometimento for suspeitado: isolar o sistema da rede, fazer backup do banco de dados e formatar a máquina comprometida 3. Garantir que o ADSelfService Plus não seja diretamente acessível pela internet - colocar atrás de VPN ou WAF 4. Executar a ferramenta de detecção de exploit disponibilizada pela Zoho (RCEScan.bat) 5. Verificar nos logs de acesso a presença de strings `/../RestAPI` ou `/./RestAPI` 6. Realizar redefinição de senha em todo o domínio e dupla redefinição de ticket Kerberos TGT se comprometimento for confirmado ## Referências - [Zoho ManageEngine - Advisory CVE-2021-40539](https://www.manageengine.com/products/self-service-password/advisory/CVE-2021-40539) - [NVD - CVE-2021-40539](https://nvd.nist.gov/vuln/detail/CVE-2021-40539) - [FBI/CISA/CGCYBER Joint Advisory AA21-259A](https://csirt.cynet.ac.cy/latest-alerts/alerts/aa21-259a-apt-actors-exploiting-newly-identified-vulnerability-in-manageengine-adselfservice-plus/) - [CISA KEV - Adição em 03/11/2021](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [FortiGuard Labs - Threat Signal Report](https://www.fortiguard.com/threat-signal-report/4153/multiple-agency-announcement-on-apt-actors-exploiting-zoho-manageengine-adselfservice-plus-aa21-259a) ## Notas Relacionadas CVE-2021-40539 é parte de uma série de vulnerabilidades críticas em produtos ManageEngine/Zoho exploradas por atores estatais. O [[g0096-apt41|APT41]] - grupo chinês com capacidades de espionagem e crime financeiro - tem histórico de exploração de vulnerabilidades em soluções de gestão de identidade e acesso (IAM). Para contexto de exploração de soluções SSO/IAM por APTs, ver também [[g0016-apt29|APT29]] (SolarWinds) e [[g1044-apt42|APT42]] (campanhas de phishing de credenciais). A técnica de comprometimento via ferramentas de gestão de TI é particularmente grave pois proporciona acesso imediato ao Active Directory de toda a organização, classificada no MITRE ATT&CK como [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] seguida de [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] e [[t1505-003-web-shell|T1505.003 - Web Shell]]. A movimentação lateral observada classifica-se como [[t1021-remote-services|T1021 - Remote Services]] via WMI. O setor de [[critical-infrastructure|infraestrutura crítica]], [[financial|financeiro]] e [[government|governo]] no Brasil também utiliza soluções ManageEngine, tornando esta CVE relevante para o contexto LATAM. Para outras CVEs exploradas pelo [[g0096-apt41|APT41]], ver [[cve-2021-27860|CVE-2021-27860]] e [[cve-2019-19781|CVE-2019-19781]].