La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha agregado una vulnerabilidad de deserialización de Java de gravedad crítica que afecta a varios productos de Zoho ManageEngine a su catálogo de errores explotados en la naturaleza.
Esta falla de seguridad (CVE-2022-35405) puede explotarse en ataques de baja complejidad, sin necesidad de interacción del usuario, para obtener la ejecución remota de código en servidores que ejecutan Zoho ManageEngine PAM360 y Password Manager Pro (sin autenticación) o Access Manager Plus (con software de autenticación).
El código de explotación de prueba de concepto (PoC) y un módulo Metasploit (dirigido a este error para obtener RCE como usuario del SISTEMA) han estado disponibles en línea desde agosto.
“El POC de explotación para la vulnerabilidad anterior está disponible públicamente”, advirtió ManageEngine a los clientes en julio cuando emitió parches de seguridad para abordar este problema.
“Recomendamos enfáticamente a nuestros clientes que actualicen las instancias de Password Manager Pro, PAM360 y Access Manager Plus de inmediato”.
Después de agregarse al catálogo de Vulnerabilidades Conocidas Explotadas (KEV) de CISA, todas las agencias de la Rama Ejecutiva Civil Federal (FCEB) ahora deben parchear sus sistemas contra este error explotado en la naturaleza de acuerdo con una directiva operativa vinculante (BOD 22-01) emitida en noviembre. .
Las agencias federales tienen tres semanas, hasta el 13 de octubre, para garantizar que sus redes estén protegidas de intentos de explotación.
Se insta a todas las organizaciones a priorizar la reparación de esta falla.
Aunque BOD 22-01 se aplica solo a las agencias FCEB de EE. UU., la agencia de seguridad cibernética de EE. UU. también instó encarecidamente a todas las organizaciones de los sectores público y privado de todo el mundo a priorizar la corrección de este error.
Seguir este consejo y aplicar los parches lo antes posible disminuirá la superficie de ataque que los atacantes podrían usar para intentar violar sus redes.
Desde que se emitió esta directiva vinculante, CISA ha agregado más de 800 vulnerabilidades de seguridad a su catálogo de errores explotados en ataques, lo que requiere que las agencias federales los aborden en un cronograma más estricto.
Se recomienda encarecidamente a todos los profesionales y administradores de seguridad que revisen el catálogo KEV de CISA y corrijan los errores enumerados dentro de su entorno para bloquear los intentos de violación de la seguridad.
En los últimos años, los servidores de Zoho ManageEngine han sido atacados constantemente, con instancias de Desktop Central, por ejemplo, pirateadas y el acceso a sus redes vendidas en foros de piratería a partir de julio de 2020.
Entre agosto y octubre de 2021, los servidores de ManageEngine también han sido atacados por piratas informáticos de estados nacionales que utilizan tácticas y herramientas similares a las implementadas en los ataques del grupo de piratería APT27 vinculado a China.
Después de estas campañas, el FBI y CISA emitieron dos avisos conjuntos advirtiendo de los actores de APT que explotan las fallas de ManageEngine para lanzar shells web en las redes de organizaciones de infraestructura crítica, incluidas las industrias de consultoría de TI, servicios financieros, electrónica y atención médica.
