Secondo l’FBI, le gruppi di criminali informatici sponsorizzati dallo stato (APT o Advanced Persistent Threats) hanno sfruttato attivamente una vulnerabilità zero-day nel ManageEngine Desktop Central di Zoho, almeno da ottobre.
“A partire dalla fine di ottobre 2021, gli attori APT hanno sfruttato attivamente uno zero-day, ora identificato come CVE-2021-44515, sui server ManageEngine Desktop Central”, ha dichiarato la Cyber Division dell’FBI .
“Gli attori di APT sono stati osservati mentre operavano compromissioni dei server di Desktop Central, rilasciando una webshell che sovrascriveva una funzione legittima di Desktop Central, scaricando strumenti per l’attacco persistente, conducendo ricognizioni di rete, tentando lo spostamento laterale e scaricando le credenziali.”
Il problema di sicurezza, affrontato da Zoho all’inizio di dicembre, è una significativa vulnerabilità di bypass dell’autenticazione che gli aggressori potrebbero utilizzare per eseguire codice arbitrario sui server Desktop Central vulnerabili.
Il 10 dicembre, CISA ha aggiunto CVE-2021-44515 al suo catalogo delle vulnerabilità sfruttate note, dando mandato alle agenzie governative di risolverlo prima di Natale ai sensi della BOD (Binding Operational Directive) 22-01. In seguito alla correzione della vulnerabilità, l’azienda ha emesso un avviso ai consumatori sugli sforzi di sfruttamento in corso, consigliando loro di installare gli aggiornamenti di sicurezza il prima possibile per prevenire attacchi in arrivo.
Zoho ha affermato che consiglia vivamente agli utenti di aggiornare le proprie installazioni alla build più recente il prima possibile, poiché si stanno riscontrando prove di sfruttamento di questa vulnerabilità. E’ possibile utilizzare lo strumento di rilevamento degli exploit di Zoho e seguire le procedure descritte here per vedere se il tuo server è stato violato utilizzando questa debolezza di sicurezza.
L’azienda consiglia di eseguire il backup dei dati aziendali essenziali, scollegare i sistemi di rete danneggiati, formattare tutti i server compromessi, ripristinare Desktop Central e aggiornare alla versione più recente. Si presume che vengano scoperte prove di penetrazione. In tal caso, Zoho suggerisce di reimpostare le password “per tutti i servizi, account, Active Directory e altri sistemi a cui è stato concesso l’accesso alla macchina sulla quale è installato il servizio”, nonché le credenziali dell’amministratore di Active Directory.
Secondo Shodan, più di 2.900 istanze di ManageEngine Desktop Central sono vulnerabili agli attacchi informatici in arrivo da tale vulnerabilità.
