Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Zoho parchea un fallo de inyección SQL de alta gravedad
18 de enero de 2023 - Equipo de RRPP de TuxCare
Zoho dice que ha parcheado varios productos ManageEngine por un fallo de inyección SQL de alta gravedad recientemente revelado.
CVE-2022-47523 es una vulnerabilidad de inyección SQL (SQLi) en ManageEngine Password Manager Pro, PAM360 y Access Manager Plus que ha sido parcheada. La vulnerabilidad existe como resultado de una validación incorrecta de la entrada proporcionada por el usuario. Un atacante podría aprovecharse de esta vulnerabilidad enviando una solicitud especialmente diseñada a un servidor vulnerable.
Zoho afirma haber resuelto el problema el mes pasado escapando caracteres especiales e implementando una validación adecuada. Aunque no se ha revelado la naturaleza exacta del fallo, las notas de publicación de Zoho revelan que el fallo se descubrió en su marco interno y que podría permitir a todos los usuarios "acceder a la base de datos backend."
Un atacante que explotara con éxito la vulnerabilidad podría ejecutar consultas arbitrarias y leer o modificar entradas de tablas de bases de datos. Aunque ManageEngine no asignó una puntuación CVSSv3 al fallo en el momento de publicar este post, clasificó la gravedad como Alta y aconsejó a los clientes que actualizaran inmediatamente los productos afectados.
Zoho dice que "dada la gravedad de esta vulnerabilidad, se recomienda encarecidamente a los clientes que actualicen a la última versión de PAM360, Password Manager Pro y Access Manager Plus inmediatamente." "Desafortunadamente, nuestro equipo había marcado incorrectamente la gravedad de la vulnerabilidad como 'Crítica' en uno de nuestros posts de asesoramiento y afirmó que la vulnerabilidad podría permitir el acceso no autenticado a la base de datos", dijo un portavoz de Zoho a BleepingComputer.
Se aconseja a los usuarios que descarguen el paquete de actualización más reciente del producto para actualizar y parchear la vulnerabilidad lo antes posible. A continuación, siga las instrucciones del paquete de actualización para aplicar la última versión a la instalación existente del producto.
La actualización llega después de que los servidores de Zoho ManageEngine hayan sido atacados repetidamente en los últimos años, con instancias de Desktop Central, por ejemplo, hackeadas y el acceso a las redes de las organizaciones violadas vendidas en foros de hacking a partir de julio de 2020.
Entre agosto y octubre de 2021, hackers estatales utilizaron tácticas y herramientas similares a las del grupo APT27, vinculado a China, para atacar servidores de ManageEngine. Tras estos ataques generalizados, el FBI y la CISA emitieron dos avisos conjuntos en los que advertían de atacantes patrocinados por el Estado que utilizaban los fallos de ManageEngine para acceder por la puerta trasera a las redes de organizaciones de infraestructuras críticas.
Las fuentes de este artículo incluyen un artículo en SecurityAffairs.
