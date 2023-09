La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso un avviso su diversi attori a livello nazionale che sfruttano le vulnerabilità della sicurezza in Fortinet FortiOS SSL-VPN e Zoho ManageEngine ServiceDesk Plus. Questi attori stanno ottenendo accesso non autorizzato a sistemi compromessi e stabilendo la persistenza.

L’avviso, pubblicato congiuntamente da CISA, Federal Bureau of Investigation (FBI) e Cyber ​​National Mission Force (CNMF), afferma che gli attori APT (Advanced Persistent Threat) a livello nazionale hanno sfruttato CVE-2022-47966. Questa vulnerabilità consente l'accesso non autorizzato a Zoho ManageEngine ServiceDesk Plus, portando alla creazione di persistenza e movimento laterale attraverso le reti.

Sebbene le identità dei gruppi pericolosi coinvolti non siano state divulgate, il Cyber ​​Command statunitense (USCYBERCOM) ha suggerito il possibile coinvolgimento di equipaggi dello stato-nazione iraniano.

Questi risultati si basano su un impegno di risposta agli incidenti condotto dalla CISA presso un'organizzazione anonima del settore aeronautico da febbraio ad aprile 2023. Si ritiene che l'attività dannosa sia iniziata già il 18 gennaio 2023.

La vulnerabilità CVE-2022-47966 si riferisce a un difetto critico che consente l'esecuzione di codice in modalità remota, consentendo agli aggressori non autenticati di assumere completamente il controllo delle istanze vulnerabili.

Una volta sfruttata con successo la vulnerabilità, gli aggressori hanno ottenuto l’accesso a livello di root al server web. Hanno quindi proceduto a scaricare malware aggiuntivo, enumerare la rete, raccogliere credenziali utente amministrative e spostarsi lateralmente all'interno della rete.

Non è ancora noto se a seguito di questi attacchi siano state rubate informazioni proprietarie.

L'organizzazione in questione è stata violata anche utilizzando un secondo vettore di accesso iniziale, che prevedeva lo sfruttamento di CVE-2022-42475, un grave bug di Fortinet FortiOS SSL-VPN, per accedere al firewall.

La CISA ha dichiarato che gli aggressori hanno compromesso e utilizzato le credenziali di un account amministrativo legittimo disabilitato da un appaltatore precedentemente assunto. È stato confermato che l'utente era stato disabilitato prima che si verificasse l'attività dannosa osservata.

È stato osservato che gli aggressori avviavano più sessioni crittografate con Transport Layer Security (TLS) a diversi indirizzi IP, indicando il trasferimento di dati dal dispositivo firewall compromesso. Hanno inoltre sfruttato credenziali valide per passare dal firewall a un server Web e distribuire shell Web per l'accesso backdoor.

In entrambi i casi, gli autori delle minacce hanno disabilitato le credenziali degli account amministrativi e cancellato i registri dai server critici per coprire le proprie tracce e cancellare le prove delle proprie attività.

Durante gli attacchi, tra l'inizio di febbraio e la metà di marzo del 2023, l'eseguibile anydesk.exe è stato osservato su tre host. Gli autori delle minacce hanno compromesso un host e poi si sono spostati lateralmente per installare l'eseguibile sugli altri due.

Il metodo di installazione di AnyDesk su ciascun computer è attualmente sconosciuto. Gli autori hanno utilizzato anche il client legittimo ConnectWise ScreenConnect per scaricare ed eseguire lo strumento di dumping delle credenziali Mimikatz.

Gli aggressori hanno tentato di sfruttare una nota vulnerabilità Apache Log4j (CVE-2021-44228 o Log4Shell) nel sistema ServiceDesk per l'accesso iniziale, ma non hanno avuto successo.

Per proteggersi da questi attacchi continui, si consiglia alle organizzazioni di applicare gli aggiornamenti più recenti, monitorare l’uso non autorizzato del software di accesso remoto ed eliminare account e gruppi non necessari per prevenirne lo sfruttamento.

