Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Ataques a productos de Fortinet y Zoho sin parches
7 de marzo de 2023 - Equipo de RRPP de TuxCare
Los ciberdelincuentes están explotando vulnerabilidades no parcheadas en productos de Fortinet y Zoho, dejando vulnerables a muchas organizaciones. Según un informe de Check Point Research, los atacantes llevan varios meses explotando estas vulnerabilidades, y el número de ataques ha aumentado significativamente en las últimas semanas.
Los usuarios de productos Zoho que utilizan ManageEngine de la compañía que no instalaron las actualizaciones de seguridad que abordaban CVE-2022-47966 (puntuación CVSS: 9,8), una vulnerabilidad de ejecución remota de código previa a la autenticación, son vulnerables a otro ataque de múltiples actores de amenazas. Como resultado, los actores de amenazas lo están utilizando ahora como vector de ataque para desplegar malware capaz de ejecutar cargas útiles de etapa siguiente.
Ambas vulnerabilidades tienen una calificación de gravedad de 9,8 sobre 10 y se encuentran en dos productos no relacionados que son críticos para asegurar grandes redes. La primera, CVE-2022-47966, es una vulnerabilidad de ejecución remota de código previa a la autenticación en 24 productos diferentes de Zoho ManageEngine. Fue parcheada en oleadas de octubre a noviembre del año pasado. La segunda vulnerabilidad, CVE-2022-39952, afecta a un producto de Fortinet llamado FortiNAC y fue parcheada la semana pasada.
Los atacantes que están detrás de las campañas atacan sistemas vulnerables con una serie de exploits. Una vez que han conseguido acceder a un sistema, instalan puertas traseras que les permiten seguir atacando. Mediante el envío de una solicitud HTTP POST estándar con una respuesta especialmente diseñada utilizando el lenguaje SAML (Security Assertion Markup Language), los atacantes pueden ejecutar código malicioso de forma remota. (SAML es un lenguaje de estándar abierto utilizado para intercambiar datos de autenticación y autorización entre proveedores de identidad y proveedores de servicios). El fallo se debe a que Zoho utiliza una versión no actualizada de Apache Santuario para la validación de firmas XML.
Se dice que Horizon3.ai, una empresa de pruebas de penetración, ha comenzado los esfuerzos de explotación al día siguiente de haber publicado una prueba de concepto (PoC) el mes pasado. El objetivo principal de los ataques detectados hasta ahora ha sido desplegar herramientas en hosts vulnerables como Netcat y Cobalt Strike Beacon. Algunas intrusiones intentaron instalar el software AnyDesk para acceso remoto, mientras que otras intentaron instalar la cepa de ransomware Buhti en Windows.
Las fuentes de este artículo incluyen un artículo en ArsTechnica.
