A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou na quinta-feira que vários atores estatais estão explorando falhas de segurança no Fortinet FortiOS SSL-VPN e no Zoho ManageEngine ServiceDesk Plus para obter acesso não autorizado e estabelecer persistência em sistemas comprometidos.
"Atores de ameaças persistentes avançadas (APT) do Estado-nação exploraram o
CVE-2022-47966
para obter acesso não autorizado a um aplicativo público (Zoho ManageEngine ServiceDesk Plus), estabelecer persistência e movimentar-se lateralmente através da rede", de acordo com um alerta conjunto publicado pela agência, em conjunto com o Federal Bureau of Investigation (FBI), e a Cyber National Mission Force (CNMF).
As identidades dos grupos de ameaças por trás dos ataques não foram divulgadas, embora o Cyber Command dos EUA (USCYBERCOM) tenha sugerido o envolvimento de equipes do Estado-nação iraniano.
As conclusões baseiam-se em um compromisso de resposta a incidentes conduzido pela CISA em uma organização do setor aeronáutico não nomeada de fevereiro a abril de 2023.
Há evidências de que a atividade maliciosa começou em 18 de janeiro de 2023.
CVE-2022-47966
se refere a uma falha crítica de execução de código remoto que permite a um invasor não autenticado assumir completamente o controle de instâncias suscetíveis.
Após a exploração bem-sucedida do
CVE-2022-47966
, os atores da ameaça obtiveram acesso de nível root ao servidor web e tomaram medidas para baixar malware adicional, enumerar a rede, coletar credenciais de usuário administrativo e mover-se lateralmente pela rede.
Não está imediatamente claro se alguma informação proprietária foi roubada como resultado.
A entidade em questão também teria sido violada usando um segundo vetor de acesso inicial que envolvia a exploração do
CVE-2022-42475
, um grave bug no Fortinet FortiOS SSL-VPN, para acessar o firewall.
"Foi identificado que atores APT comprometeram e usaram credenciais de conta administrativa legítima desativadas de um contratado anteriormente contratado, do qual a organização confirmou que o usuário havia sido desativado antes da atividade observada", disse a CISA.
Os invasores também foram observados iniciando várias sessões criptografadas por Transport Layer Security (TLS) para vários endereços IP, indicando transferência de dados do dispositivo de firewall, além de utilizar credenciais válidas para saltar do firewall para um servidor web e implantar shells de web para acesso de backdoor.
Em ambos os casos, os adversários teriam desativado as credenciais da conta administrativa e apagado os logs de vários servidores críticos no ambiente em uma tentativa de apagar o rastro forense de suas atividades.
"Entre o início de fevereiro e meados de março de 2023, o anydesk.exe foi observado em três hosts", notou a CISA.
"Os atores APT comprometeram um host e se moveram lateralmente para instalar o executável nos outros dois."
Atualmente, não se sabe como o AnyDesk foi instalado em cada máquina.
Outra técnica utilizada nos ataques envolveu o uso do legítimo cliente ConnectWise ScreenConnect para baixar e executar a ferramenta de dumping de credencial Mimikatz.
Além disso, os atores tentaram explorar uma conhecida vulnerabilidade do Apache Log4j (
CVE-2021-44228
ou Log4Shell) no sistema ServiceDesk para acesso inicial, mas não tiveram sucesso.
Diante da exploração contínua das falhas de segurança, é recomendado que as organizações apliquem as atualizações mais recentes, monitorem o uso não autorizado de software de acesso remoto e eliminem contas e grupos desnecessários para evitar seu abuso.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...