Zoho zero-day publicado en Twitter



Un investigador de seguridad publicó ayer detalles en Twitter sobre una vulnerabilidad de día cero en un producto empresarial de Zoho. Los expertos en seguridad cibernética que han revisado la vulnerabilidad le han dicho a ZDNet que el día cero podría significar problemas para las empresas de todo el mundo, ya que podría ser un punto de entrada para que las pandillas de ransomware infecten redes corporativas y rescaten sus datos. La vulnerabilidad afecta a Zoho ManageEngine Desktop Central.
Según el sitio web de Zoho, esta es una solución de administración de punto final. Las empresas usan el producto para controlar sus flotas de dispositivos, como teléfonos inteligentes Android, servidores Linux o estaciones de trabajo Mac y Windows. El producto funciona como un servidor central dentro de una empresa, lo que permite a los administradores del sistema enviar actualizaciones, tomar el control de los sistemas de forma remota, bloquear dispositivos, aplicar restricciones de acceso y más.
Ayer, un investigador de seguridad llamado Steven Seeley, publicó detalles, junto con un código de demostración de prueba de concepto, sobre un error no parcheado en este producto. "Esta vulnerabilidad permite a los atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de ManageEngine Desktop Central", dijo Seeley. Seeley agregó. El código (del atacante) se ejecuta sin necesidad de autenticación y el código se ejecuta con privilegios de root en la máquina. Esto efectivamente significa que los hackers pueden tomar el control total sobre los sistemas ManageEngine y la flota de dispositivos de una empresa. Los productos como ManageEngine de Zoho a menudo son empleados por compañías que brindan soporte de TI remoto, llamados proveedores de servicios administrados (MSP). Durante el año pasado, varias pandillas de ransomware descubrieron que podían apuntar a MSP y al software que usan para plantar ransomware en las redes de sus clientes.
El error divulgado hoy en Twitter pone en riesgo a todas las empresas que confían en Zoho ManageEngine, junto con todos los MSP que confían en él y en sus clientes. "Este parece ser el peor de los casos para los MSP que usan este producto", dijo a ZDNet Daniel Goldberg, analista de malware de Guardicore. "Son violados, todos sus clientes son violados y es una carrera la que atacará primero". "Los grupos de ransomware en este punto lo tienen todo en una ciencia", agregó Goldberg. "Encuentre una hazaña simple y confiable como esta, ataque a las víctimas oportunistas, encuentre a aquellos con dinero para pagar y obtenga ganancias". Actualmente, hay más de 2.300 instalaciones de sistemas Zoho ManageEngine expuestos en Internet, según Nate Warfield, analista del Centro de Respuesta de Seguridad de Microsoft.
Todas estas 2,300 instancias expuestas son similares a las puertas de entrada a esas compañías, debido al día cero recientemente compartido. En una entrevista con ZDNet, Leandro Velasco, un analista de inteligencia de amenazas de KPN Security, también señaló que esta vulnerabilidad también es ideal para el movimiento lateral. Incluso si una empresa no expone el Zoho ManageEngine Desktop Central a través de Internet, puede usarse dentro de sus redes.
Un atacante que obtiene acceso a una computadora dentro de la red de una compañía puede usar el día cero de Zoho para obtener acceso a través del servidor ManageEngine y luego enviar malware a todas las otras computadoras en la red de la compañía. Velasco ha visto este tipo de ataques antes mientras monitoreaba las infecciones por ransomware REvil (Sodinokibi), una de las primeras cepas de ransomware en atacar MSP y su software en los llamados "ataques de la cadena de suministro" en objetivos más grandes. Esta táctica, de atacar a los MSP y su software, se ha convertido en la corriente principal entre otras pandillas de ransomware.
"En los últimos meses, vimos campañas centradas en software especializado utilizado por MSP, como herramientas de administración de acceso remoto", dijo Sander Peters, jefe de seguridad de KPN, en un informe sobre los riesgos de la cadena de suministro de software en Europa. En un informe similar, la firma estadounidense de ciberseguridad Armor afirma que rastreó 13 MSP en 2019 que fueron pirateados o se abusó de su software para instalar ransomware en las redes de sus clientes. El día cero de Zoho, sin lugar a dudas, desencadenará una ola de ataques.
La búsqueda de Shodan enumerada anteriormente descubre algunos objetivos "jugosos" para los piratas informáticos. Actualmente, un parche no está disponible porque Seeley nunca notificó a Zoho. En Twitter, el investigador afirmó que "Zoho generalmente ignora a los investigadores" y compartió el código en línea.
Algunos investigadores de seguridad han criticado el movimiento de Seeley para revelar el día cero sin notificar a Zoho, calificándolo de no profesional. Sin embargo, otros investigadores de seguridad dijeron que también fueron ignorados cuando informaron problemas a Zoho. Un portavoz de Zoho le dijo a ZDNet que Seeley nunca se contactó con su equipo de seguridad y que se enteró del problema por parte de un cliente.
Se espera un parche para más tarde hoy, a las 10:30 am PT. Actualizado para agregar que la vulnerabilidad, ahora registrada como CVE-2020-10189, se ha parcheado en Zoho ManageEngine Desktop Central v10.0.
479. pag VER GALERÍA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı