Le Federal Bureau of Investigation et l’Agence de cybersécurité et de sécurité des infrastructures des États-Unis mettent en garde contre l’exploitation active d’une faille récemment corrigée dans le produit ManageEngine ServiceDesk Plus de Zoho, qui permet de déployer des shells Web et de mener toute une série d’activités malveillantes.
Répertorié sous le nom de CVE-2021-44077, le problème concerne une vulnérabilité d’exécution de code à distance non authentifiée qui affecte les versions de ServiceDesk Plus jusqu’à la version 11305 incluse et qui, si elle n’est pas corrigée, « permet à un attaquant de télécharger des fichiers exécutables et de placer des shells Web qui permettent des activités post-exploitation, telles que la compromission des informations d’identification de l’administrateur, la conduite de mouvements latéraux et l’exfiltration de ruches de registre et de fichiers Active Directory », a déclaré la CISA.
« Une mauvaise configuration de sécurité dans ServiceDesk Plus a conduit à la vulnérabilité », a noté Zoho dans un avis indépendant publié le 22 novembre.
CVE-2021-44077 est également la deuxième faille exploitée par le même acteur de la menace qui a exploité une faille de sécurité dans la solution de gestion des mots de passe et d’authentification unique en libre-service de Zoho, connue sous le nom de ManageEngine ADSelfService Plus, pour compromettre au moins 11 organisations, selon un nouveau rapport publié par l’équipe de renseignements sur les menaces de l’unité 42 de Palo Alto Networks.
« Plus particulièrement, entre le 25 octobre et le 8 novembre, l’acteur a porté son attention sur plusieurs organisations utilisant un produit Zoho différent, connu sous le nom de ManageEngine ServiceDesk Plus ».
Au cours des trois derniers mois, au moins deux organisations ont été compromises à l’aide de la faille ManageEngine ServiceDesk Plus, un nombre qui devrait encore augmenter à mesure que le groupe APT intensifie ses activités de reconnaissance contre les secteurs de la technologie, de l’énergie, du transport, de la santé, de l’éducation, de la finance et de la défense.