Vulnerabilidades XSS y path traversal en Zoho ManageEngine ServiceDesk Plus. Asegure sus cuentas

Especialistas de un curso de hacking han publicado el hallazgo de múltiples vulnerabilidades en Zoho ManageEngine ServiceDesk Plus. La explotación de estas fallas permitiría el despliegue de ataques de scripts entre sitios (XSS), entre otros escenarios de riesgo para los administradores de implementaciones comprometidas.

A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes del Common Vulnerability Scoring System (CVSS). Cabe mencionar que sólo una de las tres vulnerabilidades descritas a continuación ya ha recibido su clave CVSS.

CVE-2020-13154: La primera vulnerabilidad  reportada permite a los actores de amenazas remotos obtener acceso a información potencialmente confidencial en el sistema objetivo. La falla existe debido a la salida excesiva de datos por parte de la aplicación. Un hacker malicioso remoto autenticado podría descubrir la contraseña de File Protection.

Si bien esta vulnerabilidad puede ser explotada por un usuario autenticado remoto a través de Internet, no se ha registrado la existencia de exploits funcionales para explotar la falla. CVE-2020-13154 recibió un puntaje de 5.7/10 en la escala CVSS, por lo que se le considera una falla de gravedad moderada, mencionan los expertos del curso de hacking.

La segunda vulnerabilidad reportada permite a los hackers remotos desplegar ataques de scripts entre sitios (XSS). Esta falla existe debido a una incorrecta desinfección de los datos proporcionados por el usuario en los contratos de activos. Un actor de amenazas remoto podría inyectar y ejecutar código HTML arbitrario, además de scripts en el navegador de la víctima en el contexto de un sitio web vulnerable.

Acorde a los expertos del curso de hacking, la explotación exitosa de la falla permitiría a los hackers extraer información confidencial, modificar la apariencia del sitio web vulnerable, además de realizar ataques de phishing.

A pesar de que puede ser explotada de forma remota, aún no se ha reportado la existencia de un exploit para el ataque. La falla recibió un puntaje de 6.3/10 en la escala CVSS (aún no se ha asignado clave de identificación), aunque se le considera de gravedad baja debido a su complejo proceso de explotación.

La tercera falla descubierta permite a los hackers remotos desplegar ataques de escalada de directorios. Esta vulnerabilidad existe debido a un error de validación de entrada al procesar secuencias transversales de directorio. Los actores de amenazas podrían enviar solicitudes HTTP especialmente diseñadas para leer archivos en el sistema objetivo de forma arbitraria.  

Del mismo modo que los casos anteriores, esta falla puede ser explotada de forma remota, aunque no se ha detectado un exploit relacionado. La vulnerabilidad recibió un puntaje de 6.5/10, aunque aún no se le ha asignado clave CVSS.

Aunque el riesgo de explotación es reducido, el Instituto Internacional de Seguridad Cibernética (IICS) recomienda instalar las actualizaciones lanzadas por los desarrolladores a la brevedad.