Los piratas informáticos aprovechan una vulnerabilidad crítica en la solución de Zoho
Su explotación permite tomar el control de los sistemas informáticos.
El FBI, CISA y el Comando Cibernético de la Guardia Costera (CGCYBER) han informado de ataques de grupos APT de ciberdelincuentes que explotan activamente una vulnerabilidad crítica en la solución de inicio de sesión único y administración de contraseñas de Zoho. La lista de clientes de Zoho incluye tres de las cinco compañías Fortune 500, incluidas Apple, Intel, Nike, PayPal, HBO y más.
Se descubrió una vulnerabilidad ( CVE-2021-40539 ) en el software Zoho ManageEngine ADSelfService Plus. Su explotación permite tomar el control de los sistemas informáticos.
La explotación de la vulnerabilidad en ManageEngine ADSelfService Plus representa un riesgo grave para las empresas de infraestructura crítica, los contratistas de defensa, las instituciones académicas y otras organizaciones que utilizan el software, dijeron los expertos.
La explotación exitosa de la vulnerabilidad permite a un atacante alojar shells web y realizar acciones posteriores a la explotación, como comprometer las credenciales de administrador, realizar recorridos de red y eliminar grupos de registro y archivos de Active Directory.
En los ataques denunciados, los delincuentes instalan un contenedor web JavaServer Pages (JSP) disfrazado de certificado x509. Luego, el shell web se usa para navegar por la red a través de Windows Management Instrumentation (WMI) para acceder a los controladores de dominio y volcar NTDS.dit y grupos de registro de SEGURIDAD / SISTEMA.
Los grupos de APT se dirigen a una amplia gama de sectores, desde la academia y los contratistas de defensa hasta la infraestructura crítica (como transporte, tecnología de la información, manufactura, comunicaciones, logística y finanzas).
Zoho ha parcheado la vulnerabilidad en Zoho ManageEngine ADSelfService Plus build 6114. El FBI, CISA y CGCYBER instan a las organizaciones a actualizar inmediatamente a ADSelfService Plus build 6114 y asegurarse de que ADSelfService Plus no sea directamente accesible desde Internet.
