Aviso da CISA: Hackers patrocinados pelo Estado exploram vulnerabilidades da Fortinet e Zoho
8 de Setembro de 2023

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou na quinta-feira que vários atores estatais estão explorando falhas de segurança no Fortinet FortiOS SSL-VPN e no Zoho ManageEngine ServiceDesk Plus para obter acesso não autorizado e estabelecer persistência em sistemas comprometidos.

"Atores de ameaças persistentes avançadas (APT) do Estado-nação exploraram o CVE-2022-47966 para obter acesso não autorizado a um aplicativo público (Zoho ManageEngine ServiceDesk Plus), estabelecer persistência e movimentar-se lateralmente através da rede", de acordo com um alerta conjunto publicado pela agência, em conjunto com o Federal Bureau of Investigation (FBI), e a Cyber National Mission Force (CNMF).

As identidades dos grupos de ameaças por trás dos ataques não foram divulgadas, embora o Cyber Command dos EUA (USCYBERCOM) tenha sugerido o envolvimento de equipes do Estado-nação iraniano.

As conclusões baseiam-se em um compromisso de resposta a incidentes conduzido pela CISA em uma organização do setor aeronáutico não nomeada de fevereiro a abril de 2023.

Há evidências de que a atividade maliciosa começou em 18 de janeiro de 2023.

CVE-2022-47966 se refere a uma falha crítica de execução de código remoto que permite a um invasor não autenticado assumir completamente o controle de instâncias suscetíveis.

Após a exploração bem-sucedida do CVE-2022-47966 , os atores da ameaça obtiveram acesso de nível root ao servidor web e tomaram medidas para baixar malware adicional, enumerar a rede, coletar credenciais de usuário administrativo e mover-se lateralmente pela rede.

Não está imediatamente claro se alguma informação proprietária foi roubada como resultado.
A entidade em questão também teria sido violada usando um segundo vetor de acesso inicial que envolvia a exploração do CVE-2022-42475 , um grave bug no Fortinet FortiOS SSL-VPN, para acessar o firewall.

"Foi identificado que atores APT comprometeram e usaram credenciais de conta administrativa legítima desativadas de um contratado anteriormente contratado, do qual a organização confirmou que o usuário havia sido desativado antes da atividade observada", disse a CISA.

Os invasores também foram observados iniciando várias sessões criptografadas por Transport Layer Security (TLS) para vários endereços IP, indicando transferência de dados do dispositivo de firewall, além de utilizar credenciais válidas para saltar do firewall para um servidor web e implantar shells de web para acesso de backdoor.

Em ambos os casos, os adversários teriam desativado as credenciais da conta administrativa e apagado os logs de vários servidores críticos no ambiente em uma tentativa de apagar o rastro forense de suas atividades.

"Entre o início de fevereiro e meados de março de 2023, o anydesk.exe foi observado em três hosts", notou a CISA.

"Os atores APT comprometeram um host e se moveram lateralmente para instalar o executável nos outros dois."

Atualmente, não se sabe como o AnyDesk foi instalado em cada máquina.

Outra técnica utilizada nos ataques envolveu o uso do legítimo cliente ConnectWise ScreenConnect para baixar e executar a ferramenta de dumping de credencial Mimikatz.

Além disso, os atores tentaram explorar uma conhecida vulnerabilidade do Apache Log4j ( CVE-2021-44228 ou Log4Shell) no sistema ServiceDesk para acesso inicial, mas não tiveram sucesso.

Diante da exploração contínua das falhas de segurança, é recomendado que as organizações apliquem as atualizações mais recentes, monitorem o uso não autorizado de software de acesso remoto e eliminem contas e grupos desnecessários para evitar seu abuso.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...