Home / Node / Ejecución remota de código en Zoho ManageEngine ServiceDesk Plus

Ejecución remota de código en Zoho ManageEngine ServiceDesk Plus

Publication date: 
12/03/2021
Importance: 
5 - Crítica
Affected resources: 

ServiceDesk Plus, versión 11305 y anteriores.

Description: 

CISA advierte de una campaña de explotación activa de esta vulnerabilidad que podría permitir la ejecución remota de código.

Solution: 

Actualizar a Zoho ManageEngine ServiceDesk Plus build 11306 o superior,

  • Además, Zoho ha creado un centro de planes de respuesta de seguridad que proporciona detalles adicionales, una herramienta descargable que puede ejecutarse en los sistemas afectados y una guía de respuesta.
  • El FBI y CISA también recomiendan restablecer las contraseñas en todo el dominio y el doble restablecimiento de las contraseñas TGT de Kerberos si se encuentra algún indicio de que el archivo NTDS.dit haya sido comprometido. Esto no debe tomarse como una mitigación completa en respuesta a esta amenaza y puede ser necesario realizar pasos adicionales para recuperar el control administrativo de la Red.
  • Puede encontrar más información en la nota de seguridad de CISA, como por ejemplo reglas Yara o indicadores de compromiso.
Detail: 

Esta vulnerabilidad podría permitir a un atacante:

  • realizar una carga de archivos sin restricciones, mediante una solicitud POST a la URL de la API REST del ServiceDesk y cargar un archivo ejecutable, C:\ManageEngine\Servicedesk\bin\msiexec.exe, con un hash SHA256 de ecd8c9967b0127a12d6db61964a82970ee5d38f82618d5db4d8eddbb3b5726b7. Este archivo ejecutable sirve como dropper y contiene un archivo JAR codificado e incrustado de Godzilla.
  • obtener la ejecución del dropper a través de una segunda solicitud POST a una URL REST API diferente, que descodificará el archivo JAR Godzilla incrustado y lo dejará en la ruta de archivo C:\ManageEngine\ServiceDesk\lib\tomcat\tomcat-postgres.jar con un hash SHA256 de 67ee552d7c1d46885b91628c603f24b66a9755858e098748f7e7862a71baa015.

Detectar un ataque puede ser difícil, ya que los atacantes podrían ejecutar scripts de limpieza diseñados para eliminar el rastro y ocultar cualquier relación entre la explotación de la vulnerabilidad y el webshell.

Posteriormente a la explotación, el atacante podría ser capaz de comprometer las credenciales de los administradores, realizar movimientos laterales o exfiltrar archivos de registro y de Active Directory. Se ha asignado el identificador CVE-2021-44077 para esta vulnerabilidad.

Encuesta valoración