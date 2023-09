By

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine Warnung herausgegeben, dass mehrere staatliche Akteure Sicherheitslücken in Fortinet FortiOS SSL-VPN und Zoho ManageEngine ServiceDesk Plus ausnutzen. Diese Akteure verschaffen sich unbefugten Zugriff auf kompromittierte Systeme und etablieren Persistenz.

Die Warnung, die gemeinsam von CISA, dem Federal Bureau of Investigation (FBI) und der Cyber ​​National Mission Force (CNMF) veröffentlicht wurde, besagt, dass nationalstaatliche Advanced Persistent Threat (APT)-Akteure CVE-2022-47966 ausgenutzt haben. Diese Sicherheitslücke ermöglicht den unbefugten Zugriff auf Zoho ManageEngine ServiceDesk Plus, was zur Etablierung von Persistenz und lateraler Bewegung durch Netzwerke führt.

Obwohl die Identität der beteiligten Bedrohungsgruppen nicht bekannt gegeben wurde, hat das US Cyber ​​Command (USCYBERCOM) die mögliche Beteiligung iranischer Nationalstaatsmannschaften vorgeschlagen.

Diese Ergebnisse basieren auf einem Einsatz zur Reaktion auf Vorfälle, den CISA von Februar bis April 2023 bei einer namentlich nicht genannten Organisation des Luftfahrtsektors durchgeführt hat. Man geht davon aus, dass die böswillige Aktivität bereits am 18. Januar 2023 begonnen hat.

Die Schwachstelle CVE-2022-47966 bezieht sich auf einen kritischen Fehler, der die Ausführung von Code aus der Ferne ermöglicht und es nicht authentifizierten Angreifern ermöglicht, anfällige Instanzen vollständig zu übernehmen.

Nachdem die Angreifer die Sicherheitslücke erfolgreich ausgenutzt hatten, erlangten sie Root-Zugriff auf den Webserver. Anschließend luden sie weitere Schadsoftware herunter, enumerierten das Netzwerk, sammelten administrative Benutzeranmeldeinformationen und bewegten sich seitlich innerhalb des Netzwerks.

Es ist noch nicht bekannt, ob infolge dieser Angriffe vertrauliche Informationen gestohlen wurden.

Die betreffende Organisation wurde auch über einen zweiten Erstzugriffsvektor angegriffen, bei dem CVE-2022-42475, ein schwerwiegender Fehler in Fortinet FortiOS SSL-VPN, ausgenutzt wurde, um auf die Firewall zuzugreifen.

CISA hat erklärt, dass die Angreifer legitime Administrator-Kontoanmeldeinformationen eines zuvor beauftragten Auftragnehmers kompromittiert und deaktiviert haben. Es wurde bestätigt, dass der Benutzer deaktiviert wurde, bevor die beobachtete böswillige Aktivität auftrat.

Es wurde beobachtet, dass die Angreifer mehrere mit Transport Layer Security (TLS) verschlüsselte Sitzungen mit unterschiedlichen IP-Adressen initiierten, was auf eine Datenübertragung vom kompromittierten Firewall-Gerät hindeutet. Sie nutzten außerdem gültige Anmeldeinformationen, um von der Firewall auf einen Webserver zu wechseln und Web-Shells für den Hintertürzugriff bereitzustellen.

In beiden Fällen deaktivierten die Bedrohungsakteure die Anmeldeinformationen für Administratorkonten und löschten Protokolle von kritischen Servern, um ihre Spuren zu verwischen und Beweise für ihre Aktivitäten zu löschen.

Während der Angriffe wurde die ausführbare Datei „anydesk.exe“ zwischen Anfang Februar und Mitte März 2023 auf drei Hosts beobachtet. Die Bedrohungsakteure kompromittierten einen Host und bewegten sich dann seitlich, um die ausführbare Datei auf den anderen beiden zu installieren.

Die Methode zur Installation von AnyDesk auf jedem Computer ist derzeit unbekannt. Die Akteure nutzten außerdem den legitimen ConnectWise ScreenConnect-Client, um das Credential-Dumping-Tool Mimikatz herunterzuladen und auszuführen.

Die Angreifer versuchten, eine bekannte Apache Log4j-Schwachstelle (CVE-2021-44228 oder Log4Shell) im ServiceDesk-System für den Erstzugriff auszunutzen, waren jedoch erfolglos.

Um sich vor diesen anhaltenden Angriffen zu schützen, wird Organisationen empfohlen, die neuesten Updates anzuwenden, die unbefugte Nutzung von Fernzugriffssoftware zu überwachen und unnötige Konten und Gruppen zu eliminieren, um deren Ausnutzung zu verhindern.

