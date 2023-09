By

L'Agència de Ciberseguretat i Seguretat de la Infraestructura (CISA) dels Estats Units ha emès una advertència sobre diversos actors estatals que exploten vulnerabilitats de seguretat a Fortinet FortiOS SSL-VPN i Zoho ManageEngine ServiceDesk Plus. Aquests actors estan obtenint accés no autoritzat a sistemes compromesos i establint la persistència.

L'alerta, que va ser publicada conjuntament per CISA, l'Oficina Federal d'Investigacions (FBI) i la Cyber ​​National Mission Force (CNMF), afirma que els actors de l'amenaça persistent avançada (APT) de l'estat-nació han estat explotant CVE-2022-47966. Aquesta vulnerabilitat permet l'accés no autoritzat a Zoho ManageEngine ServiceDesk Plus, donant lloc a l'establiment de la persistència i el moviment lateral a través de les xarxes.

Tot i que no s'han revelat les identitats dels grups d'amenaça implicats, el comandament cibernètic dels EUA (USCYBERCOM) ha suggerit la possible implicació de les tripulacions de l'estat-nació iranià.

Aquestes troballes es basen en un compromís de resposta a incidents dut a terme per CISA en una organització del sector aeronàutic sense nom de febrer a abril de 2023. Es creu que l'activitat maliciosa va començar el 18 de gener de 2023.

La vulnerabilitat CVE-2022-47966 es refereix a un defecte crític que permet l'execució remota de codi, permetent als atacants no autenticats assumir completament les instàncies vulnerables.

Una vegada que els atacants van explotar amb èxit la vulnerabilitat, van obtenir accés a nivell arrel al servidor web. A continuació, van procedir a descarregar programari maliciós addicional, enumerar la xarxa, recopilar credencials d'usuari administratiu i moure's lateralment dins de la xarxa.

Encara no se sap si es va robar informació de propietat com a conseqüència d'aquests atacs.

L'organització en qüestió també es va infringir mitjançant un segon vector d'accés inicial, que va implicar l'explotació de CVE-2022-42475, un error greu a Fortinet FortiOS SSL-VPN, per accedir al tallafoc.

CISA ha afirmat que els atacants van comprometre i van utilitzar les credencials del compte administratiu legítim desactivades d'un contractista contractat prèviament. Es va confirmar que l'usuari havia estat desactivat abans que es produís l'activitat maliciosa observada.

Es va observar que els atacants iniciaven múltiples sessions xifrades amb transport Layer Security (TLS) a diferents adreces IP, cosa que indica la transferència de dades des del dispositiu tallafoc compromès. També van aprofitar credencials vàlides per passar del tallafoc a un servidor web i desplegar shells web per a l'accés de la porta posterior.

En ambdós casos, els actors de l'amenaça van desactivar les credencials del compte administratiu i van suprimir els registres dels servidors crítics per cobrir les seves pistes i esborrar proves de les seves activitats.

Durant els atacs, l'executable anydesk.exe es va observar en tres amfitrions entre principis de febrer i mitjans de març de 2023. Els actors de l'amenaça van comprometre un amfitrió i després es van moure lateralment per instal·lar l'executable als altres dos.

Actualment es desconeix el mètode d'instal·lació d'AnyDesk a cada màquina. Els actors també van utilitzar el client legítim de ConnectWise ScreenConnect per descarregar i executar l'eina d'abocament de credencials Mimikatz.

Els atacants van intentar explotar una vulnerabilitat coneguda d'Apache Log4j (CVE-2021-44228 o Log4Shell) al sistema ServiceDesk per a l'accés inicial, però no van tenir èxit.

Per protegir-se d'aquests atacs en curs, es recomana a les organitzacions que apliquen les últimes actualitzacions, que supervisin l'ús no autoritzat del programari d'accés remot i que eliminen comptes i grups innecessaris per evitar-ne l'explotació.

