Os pesquisadores da Unit 42 da Palo Alto Networks estão alertando que uma campanha ativa dirigida aos usuários do software Zoho, que se mostrou mais extensa do que anteriormente entendido. A Unit 42 divulgou hoje um post no blog detalhando os passos que as organizações devem tomar imediatamente para identificar e bloquear esta ameaça. A campanha agora tem como alvo o ServiceDesk Plus da Zoho, que tem cerca de 2.900 versões vulneráveis no mundo acessíveis pela internet, de acordo com as varreduras feitas pela plataforma Palo Alto Networks Cortex Xpanse.
O novo blog detalha a exploração persistente e ativa de vulnerabilidades conhecidas nos produtos Zoho, incluindo uma vulnerabilidade recém-lançada que atinge o ManageEngine ServiceDesk Plus. A campanha total já comprometeu pelo menos 13 organizações (4 novas desde a última publicação), incluindo empresas de defesa, um membro crítico da cadeia de fornecimento de tecnologia, tecnologia, saúde e educação.
Esta campanha, agora chamada de campanha TiltedTemple, está atualmente ativa com criminosos explorando vulnerabilidades inigualáveis tanto no ManageEngine ADSelfService Plus da Zoho como no ManageEngine ServiceDesk Plus. Explorando estas vulnerabilidades, um atacante pode operar como administrador dentro de uma organização e executar comandos ou instalar e executar software malicioso para roubar informações.
Quem está vulnerável?
• ServiceDesk Plus: Das 4.700 instâncias de Zoho ManageEngine ServiceDesk Plus com acesso à Internet em todo o mundo, 62% (2.900 instâncias) são avaliadas como vulneráveis à exploração com base nas varreduras da plataforma Palo Alto Networks Cortex Xpanse;
• Nos EUA: Há mais de 1.200 sistemas rodando o software ServiceDesk Plus com aproximadamente 50% – dos sistemas rodando versões vulneráveis ou sem atualização do software – que abrangem todos os segmentos da indústria, inclusive: 23 universidades, 14 governos estaduais ou locais e 10 organizações de saúde;
• Top 5 Países Vulneráveis: Estados Unidos: 21%, Índia: 6.0%, Rússia: 5.7%, Grã-Bretanha: 3.5%, Turquia: 3.4%;
• ADSelfService Plus (campanha inicial): Das 4.000 instâncias de Zoho ADSelfService Plus voltadas para a Internet, 47% (1.885 instâncias) estão executando uma versão afetada pela CVE-2021-40539 com base em escaneamentos da plataforma Palo Alto Networks Cortex Xpanse.
Em nota, a Zoho Corporation se manifestou sobre o caso e a Security Report disponibiliza o posicionamento oficial na íntegra:
“Corrigimos uma vulnerabilidade de autenticação no ADSelfService Plus da ManageEngine. Ela afeta as URLS da API REST e pode resultar em uma execução remota de código. Disponibilizamos um patch e notificamos todos os nossos clientes sobre o erro. Por favor, solicitamos que o software seja atualizado para a versão mais recente (build 6114) o mais rápido possível. Foi concedida uma consultoria pública, detalhando os passos a serem tomados pelos clientes caso sejam afetados – para mais informações, consulte este link. Também estamos tomando medidas para aplicar as lições deste incidente e introduzimos mecanismos adicionais de controle de segurança sempre que necessário.”
