Ciberdelincuentes utilizan el exploit interno de Zoho ServiceDesk para lanzar webshells

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Un grupo de amenazas persistentes avanzadas (APT) que había estado explotando una falla en el software Zoho ManageEngine ADSelfService Plus ha pivotado para aprovechar una vulnerabilidad diferente en otro producto de Zoho.

El actor ha sido visto explotando un problema de ejecución remota de código no autenticado en las versiones 11305 y anteriores de Zoho ServiceDesk, actualmente rastreado como CVE-2021-44077.

Zoho abordó el fallo RCE el 16 de septiembre de 2021, y el 22 de noviembre de 2021, la compañía publicó un aviso de seguridad para alertar a los clientes de la explotación activa. Sin embargo, los usuarios tardaron en actualizarse y siguieron siendo vulnerables a los ataques.

Según un informe de Unit42 de Palo Alto Networks, no hay una prueba de concepto pública para el exploit CVE-2021-44077, lo que sugiere que el grupo APT que lo aprovecha ha desarrollado el código del exploit por sí mismo y lo está utilizando exclusivamente por ahora.

Los actores explotan el fallo enviando dos peticiones a la API REST, una para cargar un ejecutable (msiexec.exe) y otra para lanzar el payload.

Este proceso se realiza de forma remota y no requiere autenticación en el servidor vulnerable del ServiceDesk.

Cuando ServiceDesk ejecuta el payload, se crea un mutex y se escribe un módulo Java hardcoded en “../lib/tomcat/tomcat-postgres.jar”, una variante del webshell ‘Godzilla’ que se carga en ServiceDesk después de matar ‘java.exe’ y reiniciar el proceso.

Según los investigadores, el actor utilizó la misma clave secreta del webshell vista en la campaña ADSelfService Plus, pero esta vez se instala como un filtro de servlets Java de Apache Tomcat.

Palo Alto Networks ha visto evidencias que podrían conectar estos ataques con el grupo chino APT27 (Emissary Panda), que ha desplegado previamente Godzilla contra objetivos de alto perfil, pero las pistas son insuficientes para una atribución clara.

Se recomienda encarecidamente a las organizaciones que parcheen su software Zoho lo antes posible y que revisen todos los archivos creados en los directorios de ServiceDesk Plus desde principios de octubre de 2021.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *