Detección de CVE-2021-44515: Día Cero en Zoho ManageEngine Desktop Central

[post-views]
diciembre 06, 2021 · 3 min de lectura
Detección de CVE-2021-44515: Día Cero en Zoho ManageEngine Desktop Central

¡Mantente alerta! Los actores de amenazas están aprovechando activamente la nueva vulnerabilidad de día cero (CVE-2021-44515) en los productos Zoho ManageEngine Desktop Central para atacar a empresas en todo el mundo. La falla es un problema crítico de omisión de autenticación que permite a los piratas informáticos ganar acceso no autorizado y ejecutar código arbitrario en servidores vulnerables.

Descripción de CVE-2021-44515

Zoho ManageEngine Desktop Central es una herramienta de gestión ampliamente utilizada por los administradores para el despliegue automatizado de software y la solución de problemas remotos en toda la red.

El 3 de diciembre de 2021, Zoho anunció la presencia de la crítica vulnerabilidad de día cero junto con el lanzamiento del parche y la provisión de los pasos de mitigación. Según Zoho, la falla afecta su ManageEngine Desktop Central y Desktop Central MSP, permitiendo a los adversarios obtener acceso no autorizado a la instalación y enviar una petición especialmente diseñada que resulta en la ejecución de código remoto en los servidores Desktop Central MSP.

Una rápida búsqueda en Shodan muestra más de 3,200 instalaciones de ManageEngine Desktop Central siendo vulnerables a ataques. Dado que los detalles de la falla se han hecho públicos, los hackers están aprovechando activamente la explotación del bug de Zoho ManageEngine en el entorno salvaje.

CVE-2021-44515 es la tercera vulnerabilidad en un lapso de cuatro meses que es explotada activamente por los adversarios. Forma un trío letal con la explotación de día cero de ADSelfService (CVE-2021-40539) y una falla crítica de ServiceDesk (CVE-2021-44077) aprovechada por múltiples actores patrocinados por estados para intrusiones a lo largo de agosto-octubre 2021. Además, la semana pasada, CISA emitió una alerta para CVE-2021-44077 informando que actores APT armaron el bug para instalar web shells y realizar una amplia cantidad de rutinas post-explotación durante la campaña «TitledTemple»

Detección y Mitigación de CVE-2021-44515

Zoho ha emitido el Aviso de Seguridad: CVE-2021-44515 donde presentan la Herramienta de Detección de Explotación, que permite a las organizaciones identificar si su instalación ha sido afectada por la vulnerabilidad de omisión de autenticación. El Aviso de Seguridad también cubre el plan de respuesta a incidentes seguido de recomendaciones sobre cómo actuar para minimizar los riesgos una vez afectados por la vulnerabilidad.

Para ayudar a las organizaciones a proteger mejor su infraestructura, el equipo de SOC Prime ha desarrollado recientemente la regla dedicada basada en Sigma, permitiendo a los profesionales de seguridad evaluar intentos de explotar esta notoria vulnerabilidad de día cero en productos Zoho ManageEngine. Los equipos de seguridad pueden descargar la regla desde la plataforma Detection as Code de SOC Prime:

Posibles Patrones de Explotación de Zoho Desktop Central [CVE-2021-44515] (a través de file_event)

Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR & XDR: Azure Sentinel, Splunk, Chronicle Security, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix y Open Distro.

La regla está alineada con el último marco de MITRE ATT&CK® v.10 abordando la táctica de Acceso Inicial con Explotar Aplicación Pública como la técnica principal (T1190).

Además, los profesionales de seguridad pueden identificar la actividad maliciosa asociada con la explotación de día cero de ADSelfService (CVE-2021-40539) descargando un conjunto de contenido curado disponible en el repositorio del Threat Detection Marketplace impulsado por la plataforma de SOC Prime.

Únete a la plataforma Detection as Code de SOC Prime de forma gratuita para buscar las últimas amenazas en tu entorno SIEM o XDR, mejora tu cobertura de amenazas alcanzando el contenido más relevante alineado con la matriz MITRE ATT&CK y, en general, potencia las capacidades de defensa cibernética de la organización. ¿Eres un autor de contenido? Explora el poder de la comunidad de defensa cibernética más grande del mundo uniéndote al programa SOC Prime Threat Bounty, donde los investigadores pueden monetizar su propio contenido de detección.

Ir a la Plataforma Unirse a Threat Bounty

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI
Blog, Plataforma SOC Prime — 2 min de lectura
La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI
Steven Edwards
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Últimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Blog, Últimas Amenazas — 5 min de lectura
Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Veronika Telychko