Centro de respuesta de seguridad - ManageEngine ADSelfService Plus

Línea directa de emergencia

Asistencia de emergencia para la vulnerabilidad (CVE-2021-40539) de ADSelfService Plus

Aviso

La vulnerabilidad ha sido corregida. Actualice a ADSelfService Plus compilación 6114 o superior inmediatamente.

Acerca de la vulnerabilidad

Se identificó una vulnerabilidad de omisión de autenticación (CVE-2021-40539) que afecta a las URL de la API REST. Esto podría provocar una ejecución remota de código (RCE) en ADSelfService Plus, la solución de gestión de contraseñas de autoservicio e inicio de sesión único (SSO) de ManageEngine. ManageEngine califica como crítica esta vulnerabilidad que afecta a ADSelfService Plus compilación 6113 e inferior. También ha notado indicios de explotación por parte de los ciberdelincuentes. Las instancias de esta vulnerabilidad se detectaron por primera vez en agosto de 2021, cuando los ciberdelincuentes intentaron obtener acceso a ADSelfService Plus explotando la vulnerabilidad CVE-2021-40539. Esta permite a los ciberdelincuentes colocar webshells y realizar actividades posteriores a la explotación. Estas incluyen comprometer las credenciales del administrador, realizar movimientos laterales y exfiltrar las colmenas de registro y los archivos de Active Directory. Esto se solucionó publicando una corrección en la compilación 6114.

En un aviso de seguridad que ManageEngine publicó al respecto, recomienda encarecidamente a los usuarios y administradores que actualicen a ADSelfService Plus compilación 6114 o superior. Haciendo referencia a la advertencia de ManageEngine, la Oficina Federal de Investigación (FBI), el Cibercomando de la Guardia Costera de los Estados Unidos (CGCYBER) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) también han recomendado a los usuarios que actualicen a ADSelfService Plus compilación 6114 o superior.

Nos asociamos con Veracode, una empresa independiente de seguridad de aplicaciones, para llevar a cabo pruebas de penetración manuales en ADSelfService Plus. El objetivo es obtener una perspectiva de tercera persona sobre la base de seguridad de la solución.

ADSelfService Plus compilación 6114

Publicado el 6 de septiembre de 2021, corrige la vulnerabilidad CVE-2021-40539. ManageEngine insta encarecidamente a los usuarios y administradores que actualicen a ADSelfService Plus compilación 6114 o superior.

Aviso de seguridad para CVE-2021-40539

Nuestro aviso de seguridad incluye detalles de la vulnerabilidad, una herramienta para comprobar si su instalación está afectada, indicadores de compromiso (IOC) y un plan de respuesta a incidentes para una solución rápida.

Leer el aviso de seguridad

Herramienta de detección de vulnerabilidades

Utilice la herramienta de detección de vulnerabilidades para ejecutar un análisis rápido y descubrir cualquier compromiso en su instalación. La herramienta comprueba la presencia de indicadores de compromiso (IOC) asociados a la vulnerabilidad CVE-2021-40539 y le notifica si el sistema está infectado.

Descargar la herramienta y comprobar si su sistema está comprometido

Recursos

Vea cómo detectar y mitigar cualquier compromiso en su instalación.

Cómo utilizar la herramienta de corrección para comprobar si su instalación está afectada
Lo que debe hacer inmediatamente después de confirmar que su instalación está afectada
Qué hacer si su instalación no está afectada

Preguntas frecuentes

1. ¿Qué es la vulnerabilidad CVE-2021-40539?

CVE-2021-40539 es una vulnerabilidad de omisión de autenticación relacionada con las URL de la API REST en ADSelfService Plus. Este es un problema crítico y puede permitir que los atacantes obtengan acceso no autorizado al producto a través de los endpoints de la API REST al enviar una solicitud especialmente diseñada. Esto permitiría al atacante llevar a cabo ataques posteriores y realizar ejecución remota de código (RCE).
2. ¿Qué versiones de ADSelfService Plus tienen esta vulnerabilidad?

Las versiones de ADSelfService Plus compilación 6113 e inferior son vulnerables.
3. ¿Cómo sé si he sido afectado por esta vulnerabilidad?
1. Ejecute nuestra herramienta de detección de vulnerabilidades

Hemos desarrollado una herramienta de corrección para ayudarle a identificar si su instalación se ha visto afectada por esta vulnerabilidad. Puede descargar la herramienta aquí. Una vez que la haya descargado, siga estos pasos:
- I. Extraiga la herramienta en la carpeta \ManageEngine\ADSelfService Plus\bin.
- II. Haga clic derecho en el archivo RCEScan.bat file, y seleccione Ejecutar como administrador.
- III. Se abrirá una ventana del símbolo del sistema y la herramienta ejecutará un análisis. Si su instalación se ve afectada, aparecerá el siguiente mensaje:
Resultado: su instalación de ADSelfService Plus está afectada por la vulnerabilidad de omisión de autenticación.
(o) Para identificar manualmente si su instalación está afectada, siga estos pasos:

2 (a). Compruebe si hay entradas de log específicas

a. Log de acceso
En la carpeta \ManageEngine\ADSelfService Plus\logs busque los archivos de log de acceso que tengan el patrón '"access_log_<date>.txt" y compruebe si hay entradas con las cadenas enumeradas a continuación:

/../RestAPI
/./RestAPI

La siguiente imagen muestra una entrada de log de acceso de este tipo:

b. Log de ServerOut
En la carpeta \ManageEngine\ADSelfService Plus\logs busque los archivos de log de acceso que tengan el patrón '"serverOut_<date>.txt" y compruebe si hay una excepción como se muestra en la siguiente imagen:

c. Log de ADS
En la carpeta \ManageEngine\ADSelfService Plus\logs busque los archivos de log de acceso que tengan el patrón '"adslog_<date>.txt" y compruebe si hay una excepción como se muestra en la siguiente imagen:
2 (b). Compruebe si hay archivos específicos en el sistema

Los sistemas afectados pueden tener los siguientes archivos en la carpeta de instalación de ADSelfService Plus si ejecuta versiones 6113 o inferiores:
- I. service.cer en la carpeta \ManageEngine\ADSelfService Plus\bin.
- II. ReportGenerate.jsp en las carpetas \ManageEngine\ADSelfService Plus\help\admin-guide\Reports and \ManageEngine\ADSelfService Plus\webapps\adssp\help\admin-guide\reports.
- III. adap.jsp en la carpeta \ManageEngine\ADSelfService Plus\webapps\adssp\help\html\promotion.
- IV. Archivos custom.bat y custom.txt en la carpeta C:\Users\Public\ .
CrowdStrike publicó los siguientes IOC el 22 de junio de 2023, en relación con una actividad de amenaza sospechosa que presuntamente estaría explotando CVE-2021-40539.
- V. selfsdp.jspx en la carpeta \ManageEngine\ADSelfService Plus\webapps\adssp\html\promotion\.
- VI. error.jsp en la carpeta \ManageEngine\ADSelfService Plus\webapps\adssp\html\.
- VII. tomcat-ant.jar en la carpeta \ManageEngine\ADSelfService Plus\lib\.
- VIII. Cualquier carpeta que no sea selfservice en la carpeta \ManageEngine\ADSelfService Plus\work\Catalina\localhost\ROOT\org\apache\jsp\.
4. ¿Qué debo hacer para mantener mi entorno a salvo de los atacantes que explotan esta vulnerabilidad?
Implemente los pasos de corrección que se indican a continuación lo antes posible.
- Si la instalación está afectada por la vulnerabilidad:
  1. Desconecte el equipo que tiene la instalación de la red.
  2. Haga una copia de seguridad de la base de datos de ADSelfService Plus siguiendo estos pasos.
  3. Formatee el equipo afectado.
    Nota: antes de formatear el equipo, asegúrese de haber realizado una copia de seguridad de todos los datos empresariales críticos.
  4. Descargue e instale ManageEngine ADSelfService Plus. La compilación de la nueva instalación debe ser la misma que la de la copia de seguridad.
  5. Restaure la copia de seguridad, e inicie el servidor. Se recomienda utilizar una configuración de hardware diferente para la nueva instalación.
  6. Una vez que el servidor esté en funcionamiento, actualice la instalación a la última compilación, 6114, descargando el service pack.
  7. Compruebe si hay algún acceso o uso de cuentas no autorizado. Además, verifique si hay indicios de movimiento lateral del equipo afectado a otros equipos. Si hay indicios de cuentas de Active Directory comprometidas, inicie el restablecimiento de contraseña para esas cuentas.
  8. Si necesita más información, tiene alguna pregunta o tiene problemas para actualizar ADSelfService Plus, comuníquese con nuestra línea de soporte de emergencia: adselfserviceplus-security@manageengine.com o +1-408-916-9890 (línea gratuita)
- Si la instalación no está afectada por la vulnerabilidad:
  Incluso si la instalación no está afectada por la vulnerabilidad, le sugerimos que actualice a ADSelfService Plus compilación 6114 descargando el service pack.
5. ¿Cómo actualizo ADSelfService Plus a la compilación 6114?
Siga los pasos que se indican a continuación para actualizar ADSelfService Plus a la compilación 6114:
- Cierre ADSelfService Plus.
  1. Si el producto se ejecuta como una aplicación, haga clic en Inicio --› Todos los programas --› ADSelfService Plus --› Detener ADSelfService Plus.
  2. Si el producto se ejecuta como un servicio de Windows, haga clic en Inicio --› Ejecutar --› escriba "services.msc" --› Detener "ManageEngine ADSelfService Plus".
- Ejecute el archivo stopDB.bat en el directorio <ADSelfService Plus>\bin.
- Haga una copia de seguridad de ADSelfService Plus comprimiendo el contenido del directorio <ADSelfService Plus>.
- Si está utilizando un servidor de base de datos externo (MS SQL o MySQL), realice también una copia de seguridad de la base de datos. Si está utilizando un servidor MySQL y McAfee Antivirus escanea el equipo, pause el software antivirus hasta que se complete el proceso de actualización..
- Abra el símbolo del sistema y ejecute el archivo UpdateManager.bat en el directorio <ADSelfService Plus>\bin directory.
  1. Para equipos con Windows Vista, Server 2008 y versiones posteriores con el control de cuentas de usuario activado, inicie el símbolo del sistema como administrador (haga clic derecho en el símbolo del sistema y seleccione 'Ejecutar como administrador')
- Haga clic en Examinar y seleccione el archivo PPM que descargó.
- Haga clic en Instalar para instalar el service pack. Dependiendo de la cantidad de datos que se van a migrar, el procedimiento de instalación puede tardar unos minutos. No finalice el procedimiento antes de tiempo.
- Haga clic en Cerrar y luego haga clic en Salir para salir del gestor de actualizaciones.
- Inicie ADSelfService Plus.
  1. Si el producto se ejecuta como una aplicación, haga clic en Start --› All Programs --› ADSelfService Plus --› Start ADSelfService Plus.
  2. Si el producto se ejecuta como un servicio de Windows, haga clic en Inicio --› Ejecutar --› escriba "services.msc" --› Iniciar "ManageEngine ADSelfService Plus".
6. ¿Cómo encuentro mi número de compilación?

Para encontrar su número de compilación actual, inicie sesión en el cliente web de ADSelfService Plus y haga clic en el enlace "Licencia" en el panel superior. Encontrará el número de compilación en la ventana emergente "Detalles de licencia".
7. ¿Hay alguna solución alternativa que corrija esta vulnerabilidad si no puedo actualizar inmediatamente?

Actualmente, no hay soluciones alternativas para corregir esta vulnerabilidad. La amenaza que representa esta vulnerabilidad es crítica. Por lo tanto, le recomendamos encarecidamente que actualice ADSelfService Plus a la última compilación lo antes posible.
8. ¿Qué está haciendo ManageEngine para solucionar esta vulnerabilidad?

La nueva compilación 6114 de ADSelfService Plus, publicada el 7 de septiembre de 2021, corrige la vulnerabilidad de omisión de autenticación.

Puede utilizar nuestra herramienta de detección de vulnerabilidades para comprobar si su instalación se ha visto afectada por esta vulnerabilidad. También hemos elaborado un plan de respuesta ante incidentes para ayudarle a abordar de inmediato esta vulnerabilidad.

Para cualquier soporte inmediato con respecto a este problema, los clientes pueden contactarnos a: adselfserviceplus-security@manageengine.com o +1-408-916-9890 (línea gratuita).

Para reforzar aún más la seguridad de ADSelfService Plus, nuestros equipos de ingeniería y seguridad están tomando medidas para mejorar la seguridad del producto.

Para garantizar que ADSelfService Plus siga siendo seguro, nos hemos asociado con Veracode —una empresa independiente de seguridad de aplicaciones— para realizar pruebas de penetración manuales en ADSelfService Plus. Aquí puede obtener más información sobre cómo ManageEngine previene vulnerabilidades en ADSelfService Plus durante su proceso de desarrollo.
9. ¿Dónde puedo obtener detalles completos sobre esta vulnerabilidad y las acciones recomendadas?

Hemos creado una página web dedicada para mantenerlo informado de las últimas actualizaciones, los detalles técnicos de la vulnerabilidad, nuestro plan de respuesta a incidentes y las acciones recomendadas. Lea nuestro aviso de seguridad para obtener más información.

Auditoría de vulnerabilidades

En caso de una explotación de seguridad, o si está preocupado y solo quiere asegurarse de que su instalación está libre de vulnerabilidades y es segura, regístrese abajo para recibir una auditoría gratuita.

Nuestro equipo de ciberseguridad le proporcionará asistencia personalizada.

Gracias

Gracias por registrarse para nuestra auditoría de vulnerabilidad. Nuestro equipo de ciberseguridad pronto se comunicará con usted para brindarle asistencia personal.

Al hacer clic en "Programar asistencia personalizada", usted acepta que sus datos personales sean tratados de acuerdo con la política de privacidad.

Gracias por descargar este libro electrónico. Revise su bandeja de entrada (o spam) para acceder a este libro electrónico.

Centro de respuesta de seguridad - ManageEngine ADSelfService Plus

Línea directa de emergencia

Aviso

Acerca de la vulnerabilidad

Aviso de seguridad para CVE-2021-40539

Herramienta de detección de vulnerabilidades

Recursos

Cómo utilizar la herramienta de corrección para comprobar si su instalación está afectada

Lo que debe hacer inmediatamente después de confirmar que su instalación está afectada

Qué hacer si su instalación no está afectada

Preguntas frecuentes

1. ¿Qué es la vulnerabilidad CVE-2021-40539?

2. ¿Qué versiones de ADSelfService Plus tienen esta vulnerabilidad?

3. ¿Cómo sé si he sido afectado por esta vulnerabilidad?

1. Ejecute nuestra herramienta de detección de vulnerabilidades

2 (a). Compruebe si hay entradas de log específicas

2 (b). Compruebe si hay archivos específicos en el sistema

4. ¿Qué debo hacer para mantener mi entorno a salvo de los atacantes que explotan esta vulnerabilidad?

5. ¿Cómo actualizo ADSelfService Plus a la compilación 6114?

6. ¿Cómo encuentro mi número de compilación?

7. ¿Hay alguna solución alternativa que corrija esta vulnerabilidad si no puedo actualizar inmediatamente?

8. ¿Qué está haciendo ManageEngine para solucionar esta vulnerabilidad?

9. ¿Dónde puedo obtener detalles completos sobre esta vulnerabilidad y las acciones recomendadas?

Auditoría de vulnerabilidades

Nuestro equipo de ciberseguridad le proporcionará asistencia personalizada.

Gracias