La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió el miércoles un boletín de advertencia de una falla de día cero que afecta las implementaciones de Zoho ManageEngine ADSelfService Plus que actualmente se está explotando activamente en la naturaleza.
La falla, rastreada como CVE-2021-40539 , se refiere a una omisión de autenticación de la API REST que podría conducir a la ejecución de código remoto arbitrario (RCE). Las compilaciones de ADSelfService Plus hasta 6113 se ven afectadas.
ManageEngine ADSelfService Plus es una gestión de contraseñas de autoservicio integrada y una solución de inicio de sesión único para Active Directory y aplicaciones en la nube, que permite a los administradores aplicar la autenticación de dos factores para los inicios de sesión de las aplicaciones y a los usuarios restablecer sus contraseñas.
«CVE-2021-40539 se ha detectado en exploits en la naturaleza. Un atacante remoto podría aprovechar esta vulnerabilidad para tomar el control de un sistema afectado» , dijo CISA , instando a las empresas a aplicar la última actualización de seguridad a sus servidores ManageEngine y «garantizar ADSelfService Además, no se puede acceder directamente desde Internet «.
En un aviso independiente, Zoho advirtió que es un «problema crítico» y que está «notando indicios de que esta vulnerabilidad está siendo explotada».
«Esta vulnerabilidad permite que un atacante obtenga acceso no autorizado al producto a través de los puntos finales de la API REST mediante el envío de una solicitud especialmente diseñada», dijo la compañía. «Esto permitiría al atacante llevar a cabo ataques posteriores que resulten en RCE».
CVE-2021-40539 es la quinta debilidad de seguridad revelada en ManageEngine ADSelfService Plus desde el comienzo del año, tres de las cuales: CVE-2021-37421 (puntaje CVSS: 9.8), CVE-2021-37417 (puntaje CVSS: 9.8), y CVE-2021-33055 (puntuación CVSS: 9,8), se abordaron en actualizaciones recientes. Una cuarta vulnerabilidad, CVE-2021-28958 (puntuación CVSS: 9,8), se rectificó en marzo de 2021.
Este desarrollo también marca la segunda vez que una falla en los productos empresariales de Zoho se explota activamente en ataques del mundo real. En marzo de 2020, fueron actores APT41 encontraron aprovechando un defecto RCE en ManageEngine Desktop Central ( CVE-2.020 a 10.189 , la puntuación CVSS: 9,8) para descargar y ejecutar cargas maliciosas en redes corporativas como parte de una campaña mundial de intrusos.