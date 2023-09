L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a émis un avertissement concernant plusieurs acteurs étatiques exploitant les vulnérabilités de sécurité dans Fortinet FortiOS SSL-VPN et Zoho ManageEngine ServiceDesk Plus. Ces acteurs obtiennent un accès non autorisé aux systèmes compromis et établissent la persistance.

L’alerte, publiée conjointement par la CISA, le Federal Bureau of Investigation (FBI) et la Cyber ​​National Mission Force (CNMF), indique que les acteurs nationaux des menaces persistantes avancées (APT) ont exploité CVE-2022-47966. Cette vulnérabilité permet un accès non autorisé à Zoho ManageEngine ServiceDesk Plus, conduisant à l'établissement d'une persistance et d'un mouvement latéral à travers les réseaux.

Bien que l’identité des groupes menaçants impliqués n’ait pas été révélée, le Cyber ​​Command américain (USCYBERCOM) a suggéré l’implication possible d’équipages d’États-nations iraniens.

Ces résultats sont basés sur une mission de réponse aux incidents menée par CISA auprès d'une organisation anonyme du secteur aéronautique de février à avril 2023. L'activité malveillante aurait commencé dès le 18 janvier 2023.

La vulnérabilité CVE-2022-47966 fait référence à une faille critique qui permet l'exécution de code à distance, permettant à des attaquants non authentifiés de s'emparer complètement des instances vulnérables.

Une fois que les attaquants ont réussi à exploiter la vulnérabilité, ils ont obtenu un accès au niveau racine au serveur Web. Ils ont ensuite téléchargé des logiciels malveillants supplémentaires, énuméré le réseau, collecté les informations d'identification des utilisateurs administratifs et se sont déplacés latéralement au sein du réseau.

On ne sait pas encore si des informations exclusives ont été volées à la suite de ces attaques.

L'organisation en question a également été piratée à l'aide d'un deuxième vecteur d'accès initial, qui impliquait l'exploitation de CVE-2022-42475, un bug grave de Fortinet FortiOS SSL-VPN, afin d'accéder au pare-feu.

CISA a déclaré que les attaquants ont compromis et utilisé les identifiants de compte administratif légitimes désactivés d'un entrepreneur précédemment embauché. Il a été confirmé que l'utilisateur avait été désactivé avant que l'activité malveillante observée ne se produise.

Les attaquants ont été observés en train de lancer plusieurs sessions cryptées par Transport Layer Security (TLS) vers différentes adresses IP, indiquant un transfert de données depuis le pare-feu compromis. Ils ont également exploité des informations d'identification valides pour passer du pare-feu à un serveur Web et déployer des shells Web pour un accès par porte dérobée.

Dans les deux cas, les auteurs de la menace ont désactivé les informations d’identification des comptes administratifs et supprimé les journaux des serveurs critiques pour brouiller leurs traces et effacer les preuves de leurs activités.

Lors des attaques, l'exécutable anydesk.exe a été observé sur trois hôtes entre début février et mi-mars 2023. Les acteurs malveillants ont compromis un hôte puis se sont déplacés latéralement pour installer l'exécutable sur les deux autres.

La méthode d'installation d'AnyDesk sur chaque machine est actuellement inconnue. Les acteurs ont également utilisé le client légitime ConnectWise ScreenConnect pour télécharger et exécuter l'outil de dumping d'informations d'identification Mimikatz.

Les attaquants ont tenté d'exploiter une vulnérabilité connue d'Apache Log4j (CVE-2021-44228 ou Log4Shell) dans le système ServiceDesk pour un accès initial, mais sans succès.

Pour se protéger contre ces attaques continues, il est conseillé aux organisations d'appliquer les dernières mises à jour, de surveiller toute utilisation non autorisée des logiciels d'accès à distance et d'éliminer les comptes et groupes inutiles pour empêcher leur exploitation.

