Saltar al contenido
computerg

🥇 El FBI Advierte Que Los Piratas Informáticos Podrían Explotar Un Fallo Crítico De Zoho

septiembre 18, 2021

En un nuevo aviso de seguridad conjunto, el FBI, CISA y el Comando Cibernético de la Guarda Ribereña (CGCYBER) advierten a las compañías que los conjuntos de amenazas persistentes avanzadas (APT) patrocinados por el estado explotan activamente la vulnerabilidad crítica en el software de Zoho.

La vulnerabilidad en sí, identificada como CVE-dos mil veintiuno-cuarenta quinientos treinta y nueve, se descubrió en el software ManageEngine ADSelfService Plus de Zoho, que da funciones de comienzo de sesión único y administración de claves de acceso. Si esta falla se explota de forma exitosa, puede dejar que un atacante se apodere de sistemas frágiles en una red corporativa.

Este nuevo aviso de seguridad conjunto prosigue a una advertencia afín emitida últimamente por CISA que alarma a las organizaciones de que la falla de seguridad, que puede explotarse para conseguir la ejecución recóndita de código, en el software de Zoho se explota activamente en la naturaleza.

CISA dio más detalles sobre de qué manera los actores de amenazas explotan esta vulnerabilidad en su aviso de seguridad conjunto con el FBI y CGCYBER, indicando:

“El funcionamiento de ManageEngine ADSelfService Plus representa un peligro grave para las compañías de infraestructura crítica, los contratistas de defensa aprobados en EE. UU., Las instituciones académicas y otros que emplean el software. La explotación triunfante de la vulnerabilidad deja a un atacante poner webshells, que le dejan al contrincante efectuar actividades siguientes a la explotación, como comprometer las credenciales de administrador, efectuar movimientos laterales y exfiltrar colmenas de registro y ficheros de Active Directory.

Movimiento lateral

Cuando se explotó la vulnerabilidad de omisión de autentificación en ManageEngine ADSelfService, los atacantes la explotaron para incorporar shells web JavaServer Pages (JSP) disfrazados como un certificado X509.

Al incorporar este shell web, los atacantes pueden desplazarse lateralmente mediante la red de una organización usando Windows Management Instrumentation (WMI) para acceder a los controladores de dominio y suprimir las colmenas de registro NTDS.dit y SECURITY / SYSTEM conforme un nuevo informe de BleepingComputer.

Cabe apuntar que los conjuntos de APT que explotan activamente esta vulnerabilidad en la naturaleza han lanzado ataques dirigidos a organizaciones en múltiples ámbitos, incluidos el académico, la defensa, el transporte, las tecnologías de la información, la fabricación, las comunicaciones, la logística y la seguridad y las finanzas.

Las organizaciones que emplean Zoho ManageEngine ADSelfService deben actualizar su software a la última versión lanzada a inicios de este mes que contiene un parche para CVE-dos mil veintiuno-cuarenta quinientos treinta y nueve. El FBI, CISA y CGCYBER asimismo aconsejan que las organizaciones se cercioren de que ADSelfService Plus no sea de forma directa alcanzable desde Internet para eludir ser víctima de posibles ataques que aprovechen esta vulnerabilidad.

Vía BleepingComputer


Source link