Se ha observado que varios actores de amenazas utilizan de manera oportunista una vulnerabilidad de seguridad crítica ahora parcheada que afecta a varios productos de Zoho ManageEngine desde el 20 de enero de 2023.
rastreado como CVE-2022-47966 (puntuación CVSS: 9.8), la falla de ejecución remota de código permite una toma completa de los sistemas susceptibles por parte de atacantes no autenticados.
Tantos como 24 productos diferentesincluidos Access Manager Plus, ADManager Plus, ADSelfService Plus, Password Manager Pro, Remote Access Plus y Remote Monitoring and Management (RMM), se ven afectados por el problema.
La deficiencia “permite la ejecución remota de código no autenticado debido al uso de una dependencia de terceros obsoleta para la validación de firmas XML, Apache Santuario”, Martin Zugec de Bitdefender. dicho en un aviso técnico compartido con The Hacker News.
Según la firma rumana de ciberseguridad, se dice que los esfuerzos de explotación comenzaron el día después de que la firma de pruebas de penetración Horizon3.ai publicara una prueba de concepto (PoC) el mes pasado.
La mayoría de las víctimas de los ataques se encuentran en Australia, Canadá, Italia, México, los Países Bajos, Nigeria, Ucrania, el Reino Unido y los EE. UU.
El objetivo principal de los ataques detectados hasta la fecha gira en torno al despliegue de herramientas en hosts vulnerables como Netcat y Cobalt Strike Beacon.
Algunas intrusiones aprovecharon el acceso inicial para instalar el software AnyDesk para acceso remoto, mientras que otras intentaron instalar una versión de Windows de una cepa de ransomware conocida como Buti.
Es más, hay pruebas de una operación de espionaje dirigidacon los actores de amenazas abusando de la falla de ManageEngine para implementar malware capaz de ejecutar cargas útiles de la siguiente etapa.
“Esta vulnerabilidad es otro claro recordatorio de la importancia de mantener los sistemas actualizados con los últimos parches de seguridad y, al mismo tiempo, emplear una fuerte defensa perimetral”, dijo Zugec.
“Los atacantes no necesitan buscar nuevos exploits o técnicas novedosas cuando saben que muchas organizaciones son vulnerables a exploits anteriores debido, en parte, a la falta de una gestión adecuada de parches y riesgos”.