Se ha emitido una alerta crítica de ciberseguridad tras la divulgación del CVE-2026-11374 (Severidad Alta), una vulnerabilidad que afecta al ecosistema de gestión de identidades y accesos (IAM) de ManageEngine. El fallo se desencadena cuando productos satélite (como ADSelfService Plus, ADAudit Plus, RecoveryManager Plus o M365 Manager Plus) operan integrados como componentes dentro del núcleo de ManageEngine AD360. Debido a una debilidad criptográfica o falta de entropía en el proceso de Autenticación Única (SSO), un atacante remoto no autenticado puede predecir los tickets de sesión, logrando comprometer cuentas de usuario o de administrador corporativo sin necesidad de poseer credenciales válidas.
Veredicto Analítico
- Estado: Confirmado (Parches y Service Packs oficiales liberados por el fabricante).
- Confianza: Alta (Validado por Zoho/ManageEngine y rastreado a través de bases de datos globales de vulnerabilidades).
- Riesgo para SOC TDIR: Alto. Las plataformas como AD360 y ADAudit Plus actúan como el panel de control maestro del Active Directory (AD) y del entorno Microsoft 365 de la organización. Un atacante que logre un Account Takeover (ATO) sobre una cuenta de administrador en ManageEngine obtiene “las llaves del reino”, pudiendo manipular políticas de contraseñas, borrar registros de auditoría y provisionar cuentas ocultas en la red corporativa.
- Urgencia operativa: Inmediata. Portales como ADSelfService Plus a menudo deben estar expuestos a Internet público para facilitar el restablecimiento remoto de contraseñas por parte de los empleados, lo que los convierte en un objetivo de explotación directo y altamente automatizable.
- Base del veredicto: Predicción algorítmica de tickets de Single Sign-On (SSO) (CVE-2026-11374).
Hallazgos Clave
Ecosistema Afectado: La vulnerabilidad no reside en un solo producto aislado, sino en la capa de comunicación y generación de tokens de la integración de ManageEngine AD360 con:
- ADSelfService Plus (versiones 6528 y anteriores).
- RecoveryManager Plus (versiones 6320 y anteriores).
- M365 Manager Plus (versiones 4816 y anteriores).
- ADAudit Plus (versiones 8702 y anteriores).
Impacto del Compromiso: Permite la toma de control total de la cuenta, la exposición de la identidad del usuario afectado y el secuestro de sus roles y privilegios asignados en la plataforma de gestión.
Análisis Técnico
- Vector de Ataque y Acceso Inicial: Cuando un usuario legítimo inicia sesión a través del flujo de SSO centralizado gestionado por AD360 hacia alguno de los módulos satélite, el servidor emite un “SSO Ticket” para validar la sesión entre las aplicaciones. Debido a una falla predecible en el generador de este token, el valor final carece de robustez.
- Mecanismo de Explotación: Un atacante remoto (sin autenticación, pero con conectividad de red a los portales web de ManageEngine) puede calcular y fabricar el siguiente ticket válido que la plataforma espera. Al inyectar este ticket falsificado, el portal otorga al atacante una sesión autenticada que usurpa la identidad y los permisos del técnico o administrador legítimo al cual le correspondía el token original.
TTPs (MITRE ATT&CK)
- Acceso Inicial / Evasión de Defensas: Uso de material de autenticación alternativo o falsificado (Use Alternate Authentication Material: Web Session Cookie / SSO Token – T1550.004).
- Acceso a Credenciales: Falsificación de tickets/tokens de aplicación (Steal or Forge Authentication Certificates – T1649).
- Impacto y Escalada: Uso de cuentas administrativas válidas usurpadas (Valid Accounts: Cloud / Local Accounts – T1078).
Recomendaciones Operativas
Para Administración de Identidad e Infraestructura (Acción Inmediata)
Despliegue de Service Packs: Aplicar de forma coordinada los parches de actualización de emergencia liberados por ManageEngine en todos los nodos integrados. Las versiones mínimas seguras a alcanzar son:
- ADSelfService Plus: Build 6529
- RecoveryManager Plus: Build 6321
- M365 Manager Plus: Build 4817
- ADAudit Plus: Build 8703
Reducción de Superficie: Garantizar que plataformas críticas de monitoreo como AD360, M365 Manager y ADAudit Plus se mantengan estrictamente accesibles solo desde redes internas o de gestión (OOB). Si ADSelfService requiere cara pública, debe protegerse detrás de un Web Application Firewall (WAF) robusto con inspección de sesión activa.
Para el SOC (Monitoreo y Detección)
- Monitorización de Comportamientos de Administrador: Configurar el SIEM para extraer y auditar los registros de acceso (Sign-in logs) generados por ManageEngine. Es vital alertar sobre inicios de sesión simultáneos de una misma cuenta administrativa desde direcciones IP geográficamente dispares, o el acceso súbito a la plataforma desde infraestructuras de anonimato (VPNs comerciales, Tor).
- Auditoría Retrospectiva de Directorio: Revisar la creación reciente de nuevas cuentas en el Active Directory o modificaciones críticas en las directivas de seguridad originadas o auditadas por la cuenta de servicio de ManageEngine, con el fin de descartar cambios encubiertos perpetrados a través del secuestro de la interfaz.
