Se ha observado que múltiples actores amenazantes han estado oportunamente utilizando una vulnerabilidad crítica de seguridad ahora parcheada que afecta a varios productos de Zoho ManageEngine desde el 20 de enero de 2023.
Identificado como CVE-2022-47966 (puntuación CVSS: 9,8), la falla de ejecución remota de código permite una toma completa de los sistemas susceptibles por parte de atacantes no autenticados.
Hasta 24 productos diferentes, incluidos Access Manager Plus, ADManager Plus, ADSelfService Plus, Password Manager Pro, Remote Access Plus y Remote Monitoring and Management (RMM), se ven afectados por el problema.
La deficiencia “permite la ejecución remota de código no autenticado debido al uso de una dependencia obsoleta de terceros para la validación de firmas XML, Apache Santuario”, dijo Martin Zugec de Bitdefender en un informe técnico.
Según la firma rumana de ciberseguridad, se dice que los esfuerzos de explotación comenzaron el día después de que la firma pentest Horizon3.ai publicara una prueba de concepto (PoC) el mes pasado.
La mayoría de las víctimas del ataque se encuentran en Australia, Canadá, Italia, México, los Países Bajos, Nigeria, Ucrania, el Reino Unido y los Estados Unidos.
El objetivo principal de los ataques detectados hasta la fecha gira en torno al despliegue de herramientas en hosts vulnerables como Netcat y Cobalt Strike Beacon.
Algunas intrusiones han aprovechado el acceso inicial para instalar el software AnyDesk para el acceso remoto, mientras que algunas otras han intentado instalar una versión de Windows de una cepa de ransomware conocida como Buhti.
Además, la evidencia apunta al abuso de la falla ManageEngine en una operación de espionaje dirigida, con los actores de amenazas usándola como un vector de ataque para implementar malware capaz de ejecutar cargas útiles de la siguiente etapa.
“Esta vulnerabilidad es otro claro recordatorio de la importancia de mantener los sistemas actualizados con los últimos parches de seguridad y al mismo tiempo emplear una fuerte defensa perimetral”, dijo Zugec.
“Los atacantes no necesitan buscar nuevos exploits o técnicas novedosas cuando saben que muchas organizaciones son vulnerables a exploits más antiguos debido, en parte, a la falta de una gestión adecuada de parches y gestión de riesgos”.
