Zoho zero-working day publicado en Twitter


zoho.jpg

Un investigador de seguridad publicó ayer detalles en Twitter sobre una vulnerabilidad de día cero en un producto empresarial de Zoho.

Los expertos en seguridad cibernética que han revisado la vulnerabilidad han dicho ZDNet que el día cero podría significar problemas para las empresas de todo el mundo, ya que podría ser un punto de entrada para las pandillas de ransomware para infectar redes corporativas y rescatar sus datos.

La vulnerabilidad impacta el Zoho ManageEngine Desktop Central. Según el sitio world-wide-web de Zoho, esta es una solución de gestión de puntos finales. Las empresas usan el producto para controlar sus flotas de dispositivos, como teléfonos inteligentes Android, servidores Linux o estaciones de trabajo Mac y Home windows.

El producto funciona como un servidor central dentro de una empresa, lo que permite a los administradores de sistemas enviar actualizaciones, tomar manage de los sistemas de forma remota, bloquear dispositivos, aplicar restricciones de acceso y más.

(incrustar) https://www.youtube.com/look at?v=Pe85BH9SiS8 (/ incrustar)

Ayer, un investigador de seguridad llamado Steven Seeley, detalles publicados, junto con código de demostración de prueba de concepto, sobre un error no parcheado en este producto.

«Esta vulnerabilidad permite a los atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de ManageEngine Desktop Central», dijo Seeley.

El código (del atacante) se ejecuta sin necesidad de autenticación, y el código se ejecuta con privilegios de root en la máquina, agregó Seeley.

Esto efectivamente significa que los hackers pueden tomar el regulate total sobre los sistemas ManageEngine y la flota de dispositivos de una empresa.

Excellent para ataques de ransomware

Los productos como ManageEngine de Zoho a menudo son empleados por compañías que brindan soporte de TI remoto, llamados proveedores de servicios administrados (MSP).

Durante el año pasado, varias pandillas de ransomware descubrieron que podían apuntar a MSP y al computer software que usan para plantar ransomware en las redes de sus clientes.

El error divulgado hoy en Twitter pone en riesgo a todas las empresas que confían en Zoho ManageEngine, junto con todos los MSP que confían en él y en sus clientes.

«Esto suena como el peor de los casos para los MSP que usan este producto» Daniel Goldberg, dijo un analista de malware en Guardicore ZDNet. «Son violados, todos sus clientes son violados y es una carrera la que atacará primero».

«Los grupos de ransomware en este punto lo tienen todo en una ciencia», agregó Goldberg. «Encuentre una hazaña straightforward y confiable como esta, ataque a las víctimas oportunistas, encuentre a aquellos con dinero para pagar y obtenga ganancias».

Más de 2,300 servidores expuestos.

Actualmente hay más de 2,300 instalaciones de los sistemas Zoho ManageEngine expuestos en Net, según Nate Warfield, analista del Centro de Respuesta de Seguridad de Microsoft.

Todas estas 2,300 instancias expuestas son similares a las puertas de entrada a esas compañías, debido al día cero recientemente compartido.

En una entrevista con ZDNet, Leandro Velasco, un analista de inteligencia de amenazas de KPN Stability, también señaló que esta vulnerabilidad también es ideal para el movimiento lateral.

Incluso si una empresa no expone el Zoho ManageEngine Desktop Central a través de World wide web, puede usarse dentro de sus redes.

Un atacante que obtiene acceso a una computadora dentro de la crimson de una compañía puede usar el día cero de Zoho para obtener acceso a través del servidor ManageEngine y luego enviar malware a todas las otras computadoras en la pink de la compañía.

Velasco ha visto este tipo de ataques antes mientras monitoreaba las infecciones de ransomware REvil (Sodinokibi), una de las primeras cepas de ransomware para atacar MSP y su software package en los llamados «ataques de la cadena de suministro» en objetivos más grandes.

Esta táctica, de atacar a los MSP y su computer software, se ha convertido en la corriente principal entre otras pandillas de ransomware.

«En los últimos meses, vimos campañas centradas en el application especializado utilizado por los MSP, como herramientas de administración de acceso remoto», dijo Sander Peters, jefe de Seguridad de KPN, en un informe sobre los riesgos de la cadena de suministro de software program en Europa.

En un informe related, la firma estadounidense de ciberseguridad Armor afirma que rastreó 13 MSP en 2019 que fueron pirateados o se abusó de su application para instalar ransomware en las redes de sus clientes.

Sin divulgación

El día cero de Zoho, sin duda, desencadenará una ola de hacks. La búsqueda de Shodan enumerada anteriormente descubre algunos objetivos «jugosos» para los piratas informáticos.

Actualmente, un parche no está disponible porque Seeley nunca notificó a Zoho. En Twitter, el investigador afirmó que «Zoho generalmente ignora a los investigadores» y compartió el código en línea.

Algunos investigadores de seguridad han criticado el movimiento de Seeley para revelar el día cero sin notificar a Zoho, calificándolo de no profesional. Sin embargo, otros investigadores de seguridad dijeron que también fueron ignorados cuando informaron problemas a Zoho.

Zoho respondió a una solicitud inicial de comentarios de ZDNet, pero la compañía no ha devuelto respuestas a una serie de preguntas que enviamos después de nuestro contacto inicial. Le preguntamos a Zoho sobre una línea de tiempo para parchear este problema de seguridad, y sobre sus interacciones con el investigador. ZDNet se actualizará cuando tengamos noticias de la empresa.





Enlace a la noticia authentic