Nuevas vulnerabilidades críticas en Zoho ManageEngine explotadas por grupos de hackers

La unidad de ciberseguridad del Buró Federal de Investigaciones (FBI) ha lanzado una alerta para notificar a las organizaciones usando ManageEngine Desktop Central, desarrollada por Zoho, que un grupo de hacking está explotando una vulnerabilidad crítica con el fin de instalar malware en sistemas expuestos.

ManageEngine es la división de software de gestión de TI empresarial de Zoho, una empresa destacada en el campo del software como servicio (SaaS). La falla afecta al software Desktop Central tanto para clientes empresariales como a la versión para clientes de proveedores de servicios administrados (MSP), señala el reporte.

A inicios de diciembre la compañía emitió un parche para esta falla, descrita como un error de evasión de autenticación e identificada como CVE-2021-44515. Zoho agregó que abordar la falla era prioritario debido a la detección de algunos intentos de explotación activa.

Aunque la compañía no agregó mayores detalles sobre el incidente, el FBI señala que los grupos cibercriminales han estado explotando esta vulnerabilidad al menos desde hace un par de meses: “Desde finales de octubre, grupos de amenazas persistentes avanzadas (APT) han estado explotando activamente la vulnerabilidad día cero identificada en los servidores ManageEngine Desktop Central”, señala la agencia.

Por otra parte, un reporte de Microsoft atribuye los intentos de explotación de CVE-2021-44515 a un grupo de hacking chino dedicado a la instalación de shells web en servidores afectados con el fin de ganar persistencia en los sistemas comprometidos. Este grupo suele explotar fallas en productos de gestión TI, empleados por grandes organizaciones y usuarios finales.

Los agentes federales también aseguran que, después del compromiso inicial, los atacantes descargan herramientas post explotación y enumeran a los usuarios y grupos del dominio objetivo para finalmente realizar un reconocimiento de red y descargar credenciales expuestas.

Los investigadores también identificaron al menos dos variantes de shells web usando los nombres “emsaler.zip”, “eco-inflect.jar” y “aaa.zip”. Al parecer, el shell web anula el enpoint de servlet de interfaz de protocolo de aplicación de Desktop Central legítimo, permitiendo el compromiso del sistema.

La recomendación principal es aplicar las actualizaciones necesarias, ya que hasta el momento no se conocen soluciones alternativas funcionales y la campaña de explotación sigue activa.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).