La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió el miércoles un boletín de advertencia sobre una falla de día cero que afecta las implementaciones de Zoho ManageEngine ADSelfService Plus que actualmente se está explotando activamente en la naturaleza.
La falla, rastreada como CVE-2021-40539, se refiere a una omisión de autenticación de la API REST que podría conducir a la ejecución de código remoto arbitrario (RCE). Las compilaciones de ADSelfService Plus hasta 6113 se ven afectadas.
ManageEngine ADSelfService Plus es una gestión de contraseñas de autoservicio integrada y una solución de inicio de sesión único para Active Directory y aplicaciones en la nube, lo que permite a los administradores aplicar la autenticación de dos factores para los inicios de sesión de aplicaciones y a los usuarios restablecer sus contraseñas.
«CVE-2021-40539 ha sido detectado en exploits en la naturaleza. Un atacante remoto podría explotar esta vulnerabilidad para tomar el control de un sistema afectado», dijo CISA, instando a las empresas a aplicar la última actualización de seguridad a sus servidores ManageEngine y «garantizar que ADSelfService Además, no se puede acceder directamente desde Internet».
«La explotación de ManageEngine ADSelfService Plus representa un grave riesgo para las empresas de infraestructura crítica, los contratistas de defensa con autorización de EE. UU., las instituciones académicas y otras entidades que utilizan el software», dijo CISA. «La explotación exitosa de la vulnerabilidad permite a un atacante colocar webshells, lo que permite al adversario realizar actividades posteriores a la explotación, como comprometer las credenciales del administrador, realizar movimientos laterales y exfiltrar colmenas de registro y archivos de Active Directory».
En un aviso independiente, Zoho advirtió que es un «problema crítico» y que está «observando indicios de que se está explotando esta vulnerabilidad».
«Esta vulnerabilidad permite que un atacante obtenga acceso no autorizado al producto a través de los puntos finales de la API REST mediante el envío de una solicitud especialmente diseñada», dijo la compañía. «Esto permitiría al atacante llevar a cabo ataques posteriores que resultarían en RCE».
CVE-2021-40539 es la quinta vulnerabilidad de seguridad revelada en ManageEngine ADSelfService Plus desde principios de año, tres de las cuales: CVE-2021-37421 (puntuación CVSS: 9,8), CVE-2021-37417 (puntuación CVSS: 9,8), y CVE-2021-33055 (puntuación CVSS: 9,8), se abordaron en actualizaciones recientes. Una cuarta vulnerabilidad, CVE-2021-28958 (puntuación CVSS: 9,8), se rectificó en marzo de 2021.
Este desarrollo también marca la segunda vez que una falla en los productos empresariales de Zoho se explota activamente en ataques del mundo real. En marzo de 2020, se descubrió que los actores de APT41 aprovechaban una falla de RCE en ManageEngine Desktop Central (CVE-2020-10189, puntaje CVSS: 9.8) para descargar y ejecutar cargas maliciosas en redes corporativas como parte de una campaña de intrusión global.
