Llegamos a ustedes gracias a:



Alertas de Seguridad

La falla de Zoho ManageEngine

Es explotada activamente, advierte CISA

[26/09/2022] Una vulnerabilidad de ejecución remota de código en ManageEngine de Zoho, una popular solución de gestión de TI para empresas, está siendo explotada. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de los Estados Unidos (CISA, por sus siglas en inglés) añadió la semana pasada la falla a su catálogo de vulnerabilidades conocidas, destacando una amenaza inmediata para las organizaciones que aún no han parcheado sus implementaciones vulnerables.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

La vulnerabilidad, rastreada como CVE-2022-3540, fue reportada privadamente a Zoho en junio por un investigador de seguridad identificado como Vinicius, y fue corregida más tarde ese mismo mes. El investigador publicó un escrito más detallado a principios de este mes y, según él, se trata de una falla de deserialización de Java heredada de una versión obsoleta de Apache OFBiz, un sistema de planificación de recursos empresariales de código abierto, donde fue parcheado en 2020 (CVE-2020-9496). Esto significa que los productos Zoho ManageEngine fueron vulnerables durante dos años debido a una falla en la actualización de un componente de terceros.

Normalmente, Apache OFBiz expone un punto final XML-RPC en /webtools/control/xmlrpc, que puede recibir peticiones no autenticadas. Esas peticiones pueden contener argumentos serializados que luego son deserializados y si el classpath contiene alguna clase peligrosa, se puede lograr la ejecución remota de código. En el contexto del servidor OFBiz, el atacante puede ejecutar comandos arbitrarios del sistema con los privilegios del contenedor de servlets que ejecuta el servidor.

Varios productos Zoho ManageEngine contienen este componente y exponen el punto final XML-RPC en /xmlrpc. Uno de los productos afectados es Zoho Password Manager Pro (PMP), que se ejecuta con permisos de autoridad/sistema NT, por lo que una explotación exitosa puede dar a un atacante control total sobre el servidor y acceso a la red interna.

Además de Zoho Password Manager Pro, la vulnerabilidad también se encontró en ManageEngine Access Manager Plus, una solución de gestión de sesiones privilegiadas basada en la web para el seguimiento de las conexiones remotas, y ManageEngine PAM360, una solución de gestión de acceso privilegiado. Todos los productos afectados se utilizan para la gestión de la autenticación y el acceso, por lo que comprometer cualquiera de ellos puede tener graves implicaciones para una organización.

Zoho aconseja a los usuarios que actualicen a la versión 4303 o posterior de Access Manager Plus, a la versión 12101 o posterior de Password Manager Pro y a la versión 5510 o posterior de PAM360. La compañía dice que ha corregido la falla eliminando completamente el componente vulnerable de PAM360 y Access Manager Plus, y eliminando el parser XML-RPC vulnerable de Password Manager Pro.

Cómo comprobar la vulnerabilidad de ManageEngine

Su aviso de seguridad incluye los pasos para determinar si una implementación ha sido atacada y potencialmente comprometida:

  • Vaya a <PMP/PAM360/AMP_Installation_Directory>/logs.
  • Abra el archivo access_log_<Fecha>.txt.
  • Busque la palabra clave /xmlrpc POST en el archivo de texto. Si esta palabra clave no se encuentra, su entorno no está afectado. Si está presente, proceda al siguiente paso.
  • Busque la siguiente línea en los archivos de registro. Si está presente, entonces su instalación está comprometida:

[/xmlrpc-<NúmerosRandom>_##_https-jsse-nio2-<SuPuertoDeInstalación>-exec-<NúmeroRandom>] ERROR org.apache.xmlrpc.server.XmlRpcErrorLogger - InvocationTargetException: java.lang.reflect.InvocationTargetException

Si una instalación ha sido comprometida, aísle la máquina afectada inmediatamente e inicie una investigación de respuesta a incidentes. Zoho pide a los usuarios que les envíen una copia de todos los registros de la aplicación si se ha detectado un compromiso.