Defecto crítico en la herramienta ManageEngine Desktop Central MSP explotada en la naturaleza

Cada una de las dos fallas permite a los atacantes eludir la autenticación, dejando en riesgo a los clientes de los MSP que usan ManageEngine. Hay parches disponibles.

Los piratas informáticos están aprovechando una vulnerabilidad crítica de omisión de autenticación en ManageEngine Desktop Central MSP, una herramienta de gestión de puntos finales utilizada por proveedores de servicios gestionados (MSP). Los ataques comenzaron antes de que ManageEngine emitiera un parche, por lo que se recomienda a todos los clientes que verifiquen sus sistemas en busca de signos de explotación utilizando una herramienta especial lanzada por los desarrolladores.

ManageEngine es una división del desarrollador de software empresarial Zoho que se centra en el software de gestión de TI. La división mantiene una cartera de más de 90 productos y herramientas gratuitas que son utilizadas por millones de administradores de sistemas en más de 180.000 empresas en todo el mundo.

La noticia de esta última vulnerabilidad de día cero se produce después de que los piratas informáticos explotaran al menos otras dos fallas en los productos ManageEngine este año. Los ataques contra los MSP y sus herramientas han experimentado un aumento en los últimos años debido a que los piratas informáticos se dieron cuenta de que comprometer a tales organizaciones puede proporcionar una manera fácil de ingresar a las redes de miles de empresas que dependen de ellos para administrar sus activos de TI.

Varias omisiones de autenticación

La vulnerabilidad en ManageEngine Desktop Central MSP se rastrea como CVE-2021-44515 y fue parcheada el 3 de diciembre de 2021. Permite a los atacantes eludir la autenticación y ejecutar código arbitrario en el servidor Desktop Central MSP.

La compañía lanzó las compilaciones 10.1.2127.18 y 10.1.2137.3 para las versiones empresarial y MSP del producto. Además, se ha lanzado una herramienta que puede escanear las implementaciones existentes en busca de signos del exploit conocido.

Si se detecta una instalación comprometida, la empresa aconseja una serie de pasos que incluyen:

• Desconecte la máquina afectada de la red.
• Realice una copia de seguridad de la configuración de Desktop Central MSP y de los datos comerciales críticos.
• Formatee la máquina comprometida.
• Implemente la misma compilación de software, preferiblemente en una máquina nueva.
• Restaura la copia de seguridad.
• Actualice la instalación a la última versión parcheada.
• 
  
• Además, la empresa recomienda encarecidamente restablecer la contraseña de todos los servicios, cuentas y sistemas de Active Directory (AD) a los que se ha accedido desde la máquina comprometida. También es recomendable restablecer la contraseña de administrador de AD.

El 3 de diciembre, Zoho también corrigió una falla de derivación de autenticación separada en otro producto ManageEngine llamado ServiceDesk Plus que se usa para la mesa de ayuda de TI y la administración de activos. Este defecto, que se rastrea como CVE-2021-44526 , afecta las implementaciones locales del producto hasta la versión 12002.

"Esta vulnerabilidad puede permitir que un adversario eluda la autenticación y acceda a las reglas de formulario y campo de las Plantillas, la configuración de Asignación automática del técnico, los valores permitidos del campo de activos, las configuraciones de conversión y cambio de SLA, los activos asociados a un usuario y los detalles del rol de las plantillas de cambio, así como reordenar el Catálogo de Servicios ”, explicó la empresa.

Se recomienda a los usuarios que actualicen a las compilaciones 11149, 11212 o 11311 o 12003, según la versión de ServiceDesk Plus que estén usando actualmente. También es importante tener en cuenta que las implementaciones Professional y Enterprise ServiceDesk Plus que utilizan el agente Desktop Central para el descubrimiento de activos también se ven afectadas por la vulnerabilidad CVE-2021-44515 mencionada anteriormente.

Los ataques anteriores han utilizado herramientas de gestión de TI para MSP

El 2 de diciembre, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) junto con el FBI emitieron un aviso sobre ataques activos dirigidos a una vulnerabilidad anterior de ManageEngine ServiceDesk Plus que fue parcheada en septiembre. Rastreada como CVE-2021-44077 , esa falla permite la ejecución remota de código no autenticado en los sistemas afectados.

"El FBI y CISA evalúan que los actores cibernéticos de amenazas persistentes avanzadas (APT) se encuentran entre los que explotan la vulnerabilidad", dijeron las agencias. "La explotación exitosa de la vulnerabilidad permite que un atacante cargue archivos ejecutables y coloque webshells, lo que le permite al adversario realizar actividades posteriores a la explotación, como comprometer las credenciales de administrador, realizar movimientos laterales y exfiltrar colmenas de registro y archivos de Active Directory".

En septiembre, CISA, el FBI y el Comando Cibernético de la Guardia Costera de los Estados Unidos (CGCYBER) emitieron un aviso similar para advertir sobre ataques, también por parte de actores de APT, explotando una vulnerabilidad de omisión de autenticación en una solución de inicio de sesión único de ManageEngine llamada ADSelfService Plus.

Está claro que los atacantes están mostrando interés en los productos ManageEngine, pero las herramientas de la compañía no son las únicas aplicaciones de administración de TI que han sido atacadas.

En julio, los piratas informáticos explotaron una vulnerabilidad en una herramienta de administración remota llamada Kaseya VSA que utilizan muchos MSP. El incidente provocó el compromiso de cientos de empresas en todo el mundo y su infección con el ransomware REvil. En 2019, los grupos de ransomware explotaron una antigua vulnerabilidad en la integración ConnectWise ManagedITSync, una utilidad diseñada para sincronizar datos entre ConnectWise Manage PSA y Kaseya VSA RMM, para comprometer a los MSP.

Fuente: https://www.csoonline.com/article/3643928/critical-flaw-in-manageengine-desktop-central-msp-tool-exploited-in-the-wild.html

Ingresa en nuestro portal web y conoce los productos y servicios que ofrecemos para reducir los riesgos potenciales y ayudarles a definir e implementar un conjunto de acciones para proteger su organización, haz click aquí: