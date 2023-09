By

US Cybersecurity and Infrastructure Security Agency (CISA) te bay yon avètisman sou plizyè aktè eta nasyon k ap eksplwate frajilite sekirite nan Fortinet FortiOS SSL-VPN ak Zoho ManageEngine ServiceDesk Plus. Aktè sa yo ap jwenn aksè san otorizasyon nan sistèm konpwomèt epi etabli pèsistans.

Alèt la, ki te pibliye ansanm pa CISA, Biwo Federal Envestigasyon an (FBI), ak Cyber ​​National Mission Force (CNMF), deklare ke aktè menas pèsistan avanse (APT) eta nasyon yo te eksplwate CVE-2022-47966. Vilnerabilite sa a pèmèt aksè san otorizasyon nan Zoho ManageEngine ServiceDesk Plus, ki mennen ale nan etablisman an pèsistans ak mouvman lateral atravè rezo yo.

Malgre ke idantite yo nan gwoup menas ki enplike yo pa te divilge, US Cyber ​​Command (USCYBERCOM) te sijere patisipasyon posib ekipaj peyi Iranyen yo.

Konklizyon sa yo baze sou yon angajman repons ensidan ki fèt pa CISA nan yon òganizasyon sektè aéronautik san non soti nan mwa fevriye jiska avril 2023. Yo kwè aktivite move a te kòmanse osi bonè ke 18 janvye 2023.

Vilnerabilite CVE-2022-47966 la refere a yon defo kritik ki pèmèt ekzekisyon kòd aleka, sa ki pèmèt atakè ki pa otantifye konplètman pran sou ka vilnerab yo.

Yon fwa atakè yo avèk siksè eksplwate vilnerabilite a, yo te jwenn aksè nan nivo rasin nan sèvè entènèt la. Lè sa a, yo te kontinye telechaje malveyan adisyonèl, enimere rezo a, kolekte kalifikasyon itilizatè administratif, epi deplase lateralman nan rezo a.

Li poko konnen si yo te vòlè nenpòt enfòmasyon propriétaires kòm rezilta atak sa yo.

Òganizasyon an kesyon an te tou vyole lè l sèvi avèk yon dezyèm vektè aksè inisyal, ki enplike eksplwatasyon CVE-2022-42475, yon ensèk grav nan Fortinet FortiOS SSL-VPN, yo nan lòd yo jwenn aksè nan firewall la.

CISA te deklare ke atakè yo konpwomèt epi itilize kalifikasyon kont administratif lejitim ki andikape nan men yon kontraktè ki te deja anboche. Li te konfime ke itilizatè a te enfim anvan aktivite move obsève a te fèt.

Yo te obsève atakè yo kòmanse plizyè sesyon ankripte Sekirite Transpò (TLS) nan diferan adrès IP, ki endike transfè done ki sòti nan aparèy pare-feu konpwomèt la. Yo menm tou yo te ogmante kalifikasyon valab pou yo deplase soti nan firewall la nan yon sèvè entènèt epi deplwaye kokiy entènèt pou aksè nan pòt dèyè.

Nan tou de ka, aktè menas yo te enfim kalifikasyon kont administratif yo ak efase mòso bwa nan sèvè kritik yo pou kouvri tras yo epi efase prèv aktivite yo.

Pandan atak yo, yo te obsève ègzèkutabl anydesk.exe la sou twa lame ant kòmansman mwa fevriye ak mitan mwa mas 2023. Aktè menas yo te konpwomèt yon sèl lame epi yo te deplase lateralman pou enstale ègzèkutabl la sou de lòt yo.

Metòd pou enstale AnyDesk sou chak machin se kounye a enkoni. Aktè yo te itilize tou kliyan lejitim ConnectWise ScreenConnect pou telechaje epi kouri zouti pou jete kalifikasyon Mimikatz la.

Atakè yo te eseye eksplwate yon vilnerabilite Apache Log4j li te ye (CVE-2021-44228 oswa Log4Shell) nan sistèm ServiceDesk la pou premye aksè, men yo pa t reyisi.

Pou pwoteje kont atak kontinyèl sa yo, yo konseye òganizasyon yo pou yo aplike dènye mizajou yo, pou yo siveye itilizasyon lojisyèl aksè aleka yo san otorizasyon, epi pou yo elimine kont ak gwoup ki pa nesesè pou anpeche eksplwatasyon yo.

