[23/01/2023] Los usuarios de las implementaciones locales de los productos Zoho ManageEngine deben asegurarse de que tienen parches aplicados para una vulnerabilidad crítica de ejecución remota de código que los atacantes han comenzado a explotar en la naturaleza. A finales de la semana pasada se publicaron detalles técnicos sobre la falla, junto con una prueba de concepto del exploit, lo que permitirá a más atacantes añadir este exploit a su arsenal.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
La vulnerabilidad es fácil de explotar y un buen candidato para que los atacantes "rocíen y recen" a través de Internet", dijeron los investigadores de la empresa de pruebas de penetración Horizon3.ai en una entrada de blog. "Esta vulnerabilidad permite la ejecución remota de código como NT AUTHORITY\SYSTEM, esencialmente dando a un atacante el control completo sobre el sistema. Si un usuario determina que ha sido comprometido, se requiere una investigación adicional para determinar cualquier daño que un atacante haya hecho".
Zoho publicó actualizaciones de seguridad durante octubre y noviembre para múltiples productos con el fin de solucionar la falla, que ahora se rastrea como CVE-2022-47966. Sin embargo, el aviso de seguridad no se publicó hasta este mes y hasta la semana pasada había más de mil instancias vulnerables de productos ManageEngine expuestas directamente a Internet, y probablemente muchas más dentro de grandes redes corporativas.
Vulnerabilidad SAML ShowStopper
La vulnerabilidad fue encontrada por un investigador llamado Khoadha, alias @_l0gg, de la firma vietnamita Viettel Cyber Security, y fue reportada privadamente a Zoho a través de su programa de bug bounty a finales de octubre. Cuando ManageEngine publicó su aviso el 10 de enero, los investigadores de Horizon3.ai lo investigaron y aplicaron ingeniería inversa al parche para crear un exploit de prueba de concepto. Tras avisar a la comunidad de que la falla es muy grave y fácil de explotar y compartir algunos IOC que podrían permitir la detección del exploit, esperaron varios días antes de publicar sus hallazgos. Al mismo tiempo, Khoadha publicó un informe detallado.
El problema se encuentra en versiones antiguas de una biblioteca llamada libxmlsec del proyecto de código abierto Apache Santuario. La versión de la librería usada en los productos ManageEngine tenía más de una década. Las versiones más recientes no están afectadas debido a las mejoras de seguridad añadidas con el tiempo, aunque los hallazgos de Khoadha son nuevos.
Apache Santuario implementa estándares de seguridad para XML, principalmente XML-Signature Syntax and Processing y XML Encryption Syntax and Processing. Estos estándares se utilizan habitualmente en el lenguaje SAML (Security Assertion Markup Language), un protocolo muy popular en las implementaciones de inicio de sesión único (SSO) para la comunicación entre proveedores de identidad y proveedores de servicios. Las empresas utilizan SAML para permitir a los empleados utilizar la misma identidad en diferentes aplicaciones y servicios.
Zoho ManageEngine proporciona un conjunto de productos para empresas, muchos de los cuales soportan SSO basado en SAML. Algunos de los productos se ven afectados si actualmente tienen SAML SSO habilitado, mientras que otros se ven afectados si alguna vez lo tuvieron habilitado en el pasado, aunque ya no lo tengan. Los productos afectados son:
- Access Manager Plus
- Active Directory 360
- ADAudit Plus
- ADManager Plus
- ADSelfService Plus
- Analytics Plus
- Application Control Plus
- Asset Explorer
- Browser Security Plus
- Device Control Plus
- Endpoint Central
- Endpoint Central MSP
- Endpoint DLP
- Key Manager Plus
- OS Deployer
- PAM 360
- Password Manager Pro
- Patch Manager Plus
- Remote Access Plus
- Remote Monitoring and Management (RMM)
- ServiceDesk Plus
- ServiceDesk Plus MSP
- SupportCenter Plus
- Vulnerability Manager Plus
"En resumen, cuando Apache Santuario es <= v1.4.1, la vulnerabilidad es trivialmente explotable y posible a través de varias condiciones: La validación de referencias se realiza antes que la validación de firmas, lo que permite la ejecución de transformaciones XSLT maliciosas; La ejecución de transformaciones XSLT permite a un atacante ejecutar código Java arbitrario", escribieron los investigadores de Horizon3 en su análisis. "Esta vulnerabilidad sigue siendo explotable incluso cuando Apache Santuario está entre v1.4.1 y v2.2.3, que algunos de los productos ManageEngine afectados estaban utilizando en ese momento, como Password Manager Pro".
Aunque la investigación se realizó sobre productos de ManageEngine, Khoadha advierte en su propio escrito que la falla no se limita a ellos, y que productos de otras compañías que utilicen cualquiera de las versiones afectadas de libxmlsec para SAML podrían verse afectados de forma similar. Por eso ha bautizado la falla como SAML ShowStopper.
Los atacantes ya están explotando la falla de ManageEngine
Investigadores de la empresa de seguridad Rapid7 informaron el 19 de enero de que ya habían respondido a casos de ataques derivados de la explotación de CVE-2022-47966. Más tarde, la empresa actualizó su aviso con los indicadores de compromiso que estaban viendo en la naturaleza, así como las técnicas de MITRE ATT&CK que los atacantes estaban utilizando después de la explotación. Esto incluye el uso de PowerShell para desactivar Windows Defender y el despliegue de una herramienta de tunelización escrita en Golang y llamada Chisel.
"Nuestro equipo de investigación de vulnerabilidades descubrió durante las pruebas que algunos productos pueden ser más explotables que otros: ServiceDesk Plus, por ejemplo, es fácilmente explotable con código de prueba de concepto público, pero ADSelfService Plus requiere que un atacante obtenga dos piezas adicionales de información y modifique el PoC para una explotación exitosa", dijeron los investigadores de Rapid7.
La empresa de seguridad GreyNoise también está detectando intentos de explotación en sus honeypots.
Las vulnerabilidades que pueden explotarse para la ejecución remota de código sin autenticación y que tienen una prueba de concepto pública suelen ser adoptadas rápidamente por los atacantes, por lo que es probable que el número de ataques no haga sino aumentar. Las organizaciones que no exponen directamente ninguno de estos productos ManageEngine a Internet deberían aplicar los parches lo antes posible, ya que los atacantes pueden obtener acceso a la red de diversas formas y esta falla puede explotarse para el movimiento lateral. Muchos productos ManageEngine se utilizan para la seguridad, la gestión de identidades y la autenticación, por lo que contienen información sensible.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú