En una alerta de ciberseguridad, Zoho solicitó a sus clientes actualizar sus implementaciones de Desktop Central y Desktop Central MSP a la más reciente versión con el fin de abordar una vulnerabilidad crítica. Identificada como CVE-2021-44515, la explotación exitosa de esta falla permitiría a los actores de amenazas evadir la autenticación y ejecutar código arbitrario en servidores vulnerables.
Además de solicitar la instalación de sus actualizaciones, Zoho menciona que ya se han detectado indicios de explotación activa, lo que hace urgente que se actualicen las implementaciones vulnerables. La compañía también recomienda usar su herramienta de detección de exploits para saber si una implementación se ve afectada.
En caso de que un administrador encuentre evidencia de compromiso, Zoho también recomienda iniciar un procedimiento de restablecimiento de contraseñas para todos los servicios y cuentas a los que se ha accedido desde la implementación comprometida.
Al realizar un escaneo con la herramienta Shodan, los investigadores encontraron más de 3,200 implementaciones de ManageEngine Desktop Central ejecutando puertos vulnerables al compromiso, por lo que este es un riesgo de seguridad considerable.
Esta no es la primera vez que Zoho ManageEngine se vuelve un blanco fácil para los actores de amenazas. Las instancias de Desktop Central han sido hackeadas con anterioridad, permitiendo a los hackers maliciosos acceder a las redes comprometidas.
Según un reporte de seguridad, durante 2020 se detectaron múltiples accesos maliciosos a diversas redes comprometidas en diversas partes del mudo, principalmente Estados Unidos, Brasil, España y Reino Unido.
Ante las múltiples campañas de ataque contra estas implementaciones, el Buró Federal de Investigaciones (FBI) y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) emitieron alertas de seguridad para advertir a los usuarios que al menos dos grupos de actores de amenazas estaban explotando vulnerabilidades relacionadas con ManageEngine para lanzar webshells contra organizaciones específicas.
Ambas agencias mencionaron que la confirmación de un ataque exitoso puede ser un proceso complejo, ya que se sabe que los atacantes ejecutan scripts de limpieza diseñados para eliminar los rastros de su actividad, aunque esto no es imposible.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).