Trusted Design

解説:

CVE-2021-40539について、以下の観点で解説します。

1. 脆弱性の概要

CVE-2021-40539は、Zoho ManageEngine ADSelfService PlusのREST APIにおける認証バイパスの脆弱性です。これにより、リモートから任意のコード実行 (RCE) が可能になります。 この脆弱性は、実際に攻撃に悪用されていることが確認されています。

1.1 影響

リモートの非認証の攻撃者は、特別に細工されたリクエストを送信することで認証をバイパスし、リモートで任意のコードを実行できます。 攻撃が成功すると、Webシェルを展開して永続性を確立したり、管理者資格情報を窃取したり、横方向の移動、レジストリハイブやActive Directoryファイルの流出などの活動が行われる可能性があります。 この脆弱性の悪用は、重要インフラ企業、米国の防衛関連請負業者、学術機関、およびソフトウェアを使用しているその他のエンティティに深刻なリスクをもたらします。

1.2 深刻度

Common Vulnerability Scoring System (CVSS) v3.xのスコアは9.8で、深刻度は最も高い「Critical（緊急）」に分類されています。 National Vulnerability Database (NVD) には、2021年9月7日に公開されました。

2. 対象となる環境

製品名

Zoho ManageEngine ADSelfService Plus

2.1 影響を受けるOSバージョン

特定のOSバージョンの記載はありませんが、Zoho ManageEngine ADSelfService Plusが動作するOSすべてが影響を受ける可能性があります。

2.2 影響を受ける設定

Zoho ManageEngine ADSelfService PlusのREST API機能が利用されている環境が影響を受けます。 特に、ADSelfService Plusがインターネットから直接アクセス可能な状態にある場合、リスクが高まります。

3. 影響を受けた時の兆候

• アカウントの不正アクセスや不正利用、影響を受けたサーバーから他のサーバーへの不正なファイル共有、不正なパスワードリセットなどの不審な活動。
• JSPウェブシェル（例: service.cer）や、KdcSponge、NGLite、Godzilla Webshellといった悪性ツールの展開。
• /ManageEngine/ADSelfService Plus/logs フォルダ内のアクセスログに、以下の文字列が存在する。
  • /RestAPI LogonCustomization
  • /RestAPI /connect
• 監査レポート（特にパスワードリセットに関するレポートなど）で不審な活動が確認される。

4. 推奨対策

4.1 本対策

• Zoho ManageEngine ADSelfService Plusを、脆弱性が修正された最新バージョンに直ちにアップデートしてください。
  • 具体的には、ADSelfService Plusビルド6114以降への更新が推奨されます。
  • 日本向けにリリースされている製品では、ビルド6110で本脆弱性は修正されています。グローバル向けリリースでは、ビルド6113以前のすべてのビルドが対象です。

4.2 暫定回避策（緩和策）

• ManageEngine ADSelfService Plusがインターネットから直接アクセスできないようにしてください。

その他解説すべき観点

• CISAの既知の悪用されている脆弱性カタログへの掲載: 米国のCISA（サイバーセキュリティ・インフラセキュリティ庁）は、本脆弱性を「Known Exploited Vulnerabilities Catalog」に掲載しており、積極的に悪用されていることを警告しています。
• APTグループによる悪用: FBI、CISA、およびCGCYBER（米沿岸警備隊サイバーコマンド）は、高度な持続的脅威（APT）攻撃グループが本脆弱性を悪用している可能性が高いと評価しています。 MicrosoftやPalo Alto Networksのセキュリティ研究者も、中国を拠点とする脅威グループがこの脆弱性を標的とした新たなキャンペーンを展開していると報告しています。

---

参照したサイト

• cve-2021-40539 - NVD
• CVE-2021-40539 | Arctic Wolf
• APT Actors Exploiting Newly Identified Vulnerability in ManageEngine ADSelfService Plus
• FBIら、ManageEngine ADSelfService Plusの脆弱性に関する共同アドバイザリ発表
• FBI／CISA 勧告：Zoho の深刻な脆弱性 CVE-2021-40539 が狙われている (※BleepingComputerの記事を引用している日本語記事)
• CVE-2021-40539 - CVE Record
• How to detect the Zoho ManageEngine ADSelfService Plus RCE (CVE-2021-40539) | Pentest-Tools.com Blog
• 【重要】既知の脆弱性 CVE-2021-40539 について | ADSelfService Plus ナレッジベース
• ManageEngine ADSelfServicePlus の認証バイパス (CVE-2021-40539) - Tenable
• CVE-2021-40539 (まとめ) - TT 脆弱性 Blog
• CVE-2021-40539: Authentication Bypass | ADSelfService Plus - ManageEngine
• Zohoの「ManageEngine ADSelfService Plus」に脆弱性 - すでに悪用も - Security NEXT
• Mapping Zoho ADSelfService Plus CVE-2021-40539 in the Wild - Palo Alto Networks Blog
• 【安全通报】ADSelfService Plus远程代码执行漏洞（CVE-2021-40539） - 白帽汇
• How to exploit CVE-2021-40539 on ManageEngine ADSelfService Plus - Synacktiv
• CVE-2021-40539 ManageEngine ADSelfService Plus漏洞分析-藏青's BLOG
• CVE-2021-40539 : Zoho ManageEngine ADSelfService Plus version 6113 and prior is vulnerable to RES - CVE Details
• Zoho 警告0 day身份验证绕过漏洞被积极利用 - Ucloud
• ManageEngine ADSelfService Plusに対する標的型攻撃キャンペーンで防衛関連企業など機密情報を扱う産業分野が被害を受けたことが判明 - Palo Alto Networks Unit 42
• ManageEngine ADSelfService Plus CVE-2021-40539 漏洞分析-安全KER - 安全资讯平台
• 標的型メール訓練サービス｜サイバープロテクター｜三井住友海上火災保険 (一般的な情報であり、CVE-2021-40539に直接関係しない)
• ManageEngine ADSelfServicePlus 身份验证绕过(CVE-2021-40539) - Tenable
• JVNDB-2021-011478 - JVN iPedia - 脆弱性対策情報データベース
• セキュリティ対策の各種サービス｜サイバー攻撃・情報漏えい保険『サイバープロテクター』 (一般的な情報であり、CVE-2021-40539に直接関係しない)
• Weekly Report 2025-05-28号 - JPCERT コーディネーションセンター (一般的な情報であり、CVE-2021-40539に直接関係しない)
• メールセキュリティの脅威・動向と対策解 - HI-HO (一般的な情報であり、CVE-2021-40539に直接関係しない)