La Oficina Federal de Investigaciones (FBI) de los EE. UU. Y la Agencia para la Seguridad Cibernética y la Seguridad de la Infraestructura (CISA) advierten contra el uso activo del error recientemente corregido en ManageEngine ServiceDesk Plus de Zoho para implementar shells web y realizar una serie de actividades maliciosas.
Este problema se registra como CVE-2021-44077 (puntuación CVSS: 9,8) y está relacionado con una vulnerabilidad de ejecución remota de código no verificada que afecta a las versiones de ServiceDesk Plus hasta la 11305 inclusive, que, si no se corrige, «permite a un atacante cargar archivos ejecutables archivos y sitios web de lugares. «» Shells que permiten actividades posteriores al abuso, como comprometer las credenciales de administrador, realizar un movimiento en paralelo y extraer colmenas de registro y archivos de Active Directory «, dijo CISA.
«Una configuración de seguridad deficiente en ServiceDesk Plus ha provocado esta vulnerabilidad», dijo Zoho en una recomendación independiente publicada el 22 de noviembre. «Esta vulnerabilidad podría permitir a un oponente ejecutar código arbitrario y realizar cualquier ataque posterior». Zoho solucionó el mismo error en las versiones 11306 y superiores el 16 de septiembre de 2021.
CVE-2021-44077 es también la segunda falla explotada por el mismo actor de amenazas identificado previamente al explotar una vulnerabilidad de seguridad en la solución de autoservicio de administración de contraseñas e inicio de sesión único de Zoho conocida como ManageEngine ADSelfService Plus (CVE-2021-40539) para comprometer al menos 11 organizaciones, según un nuevo informe publicado por el equipo de 42 amenazas de Palo Alto Networks.
«La amenaza se está expandiendo[ed] su enfoque más allá de ADSelfService Plus en otro software vulnerable ”, dijeron los investigadores de la Unidad 42, Robert Falcone y Peter Renals. «Más notablemente, entre el 25 de octubre y el 8 de noviembre, el actor centró su atención en varias organizaciones que ejecutan otro producto de Zoho conocido como ManageEngine ServiceDesk Plus. «
Se cree que los ataques están liderados por un «jugador APT persistente y decidido», al que Microsoft le sigue el sobrenombre «DEV-0322», un grupo creciente de amenazas que el gigante tecnológico dice que opera fuera de China y que anteriormente se había observado en explotación. zero-day en el servicio de transferencia de archivos administrado SolarWinds Serv-U a principios de este año. La unidad 42 supervisa la actividad combinada como «Templo inclinado«Campaña.
Las actividades de explotación después de un compromiso exitoso incluyen que el actor cargue un nuevo cuentagotas («msiexec.exe») en los sistemas de las víctimas, que luego implementa un shell web JSP en chino llamado «Godzilla» para garantizar la perseverancia en estas máquinas, repitiendo un proceso similar táctica. utilizado contra el software ADSelfService.
La Unidad 42 encontró que actualmente hay más de 4.700 instancias de ServiceDesk Plus en todo el mundo con acceso a Internet, de las cuales 2.900 (o el 62%) cubren los Estados Unidos, India, Rusia, el Reino Unido y Turquía como vulnerables al abuso.
Al menos dos organizaciones se han visto comprometidas en los últimos tres meses con el error ManageEngine ServiceDesk Plus, y se espera que el número aumente aún más a medida que el Grupo APT aumente sus actividades de investigación en tecnología, energía, transporte, atención médica, educación, finanzas y defensa. industria.
Zoho ha puesto a disposición una herramienta de detección de abusos para ayudar a los clientes a determinar si sus instalaciones locales se han visto comprometidas y, además, recomienda que los usuarios «actualicen inmediatamente a la última versión de ServiceDesk Plus (12001)» para mitigar cualquier riesgo potencial de uso.
