Grupos de hackers apoiados pelo Estado violaram uma organização aeronáutica dos Estados Unidos usando exploits direcionados a vulnerabilidades críticas da Zoho ManageEngine e da Fortinet, revelou um aviso conjunto publicado pela CISA, FBI e o Comando Cibernético dos Estados Unidos (USCYBERCOM), na quinta-feira.
Os grupos de ameaças por trás dessa violação ainda não foram nomeados, mas enquanto o comunicado conjunto não conectou os atacantes a um estado específico, o comunicado de imprensa do USCYBERCOM relacionou os atores mal-intencionados aos esforços de exploração iranianos.
A CISA fez parte da resposta ao incidente entre fevereiro e abril e disse que os grupos de hackers estiveram na rede da organização de aviação comprometida pelo menos desde janeiro, após invadir um servidor exposto à Internet que executava o Zoho ManageEngine ServiceDesk Plus e um firewall da Fortinet.
"CISA, FBI e CNMF confirmaram que atores de ameaças persistentes avançadas (APT) apoiados por Estados-nação exploraram o
CVE-2022-47966
para obter acesso não autorizado a um aplicativo voltado ao público (Zoho ManageEngine ServiceDesk Plus), estabelecer persistência e se deslocar lateralmente pela rede," diz o aviso.
"Esta vulnerabilidade permite a execução de códigos remotos no aplicativo ManageEngine.
Outros atores APT também foram observados explorando o
CVE-2022-42475
para estabelecer presença no dispositivo de firewall da organização."
Como as três agências dos Estados Unidos alertam, esses grupos de ameaças frequentemente escaneiam em busca de vulnerabilidades em dispositivos voltados para a Internet não corrigidos contra bugs de segurança críticos e fáceis de explorar.
Após infiltrar-se na rede de um alvo, os atacantes manterão persistência nos componentes de infraestrutura de rede hackeados.
Esses dispositivos de rede provavelmente serão usados como degraus para o movimento lateral nas redes das vítimas, como infraestrutura maliciosa, ou uma combinação de ambos.
Os defensores de rede são aconselhados a aplicar mitigação compartilhada no aviso de hoje e as melhores práticas recomendadas pela NSA para garantir a infraestrutura.
Elas incluem, mas não estão limitadas a proteger todos os sistemas contra todas as vulnerabilidades exploradas conhecidas, monitorar o uso não autorizado de software de acesso remoto e remover contas e grupos desnecessários (desabilitados) (especialmente contas privilegiadas).
A CISA ordenou às agências federais que protegessem seus sistemas contra exploits
CVE-2022-47966
em janeiro, dias após os atores de ameaças começaram a visar instâncias do ManageEngine não corrigidas expostas online para abrir shells reversas depois que o código de exploração de prova de conceito (PoC) foi divulgado online.
Meses após o aviso da CISA, o grupo de hackers Lazarus da Coreia do Norte também começou a explorar a falha do Zoho ManageEngine, violando com sucesso organizações de saúde e um provedor de infraestrutura de backbone de Internet.
O FBI e a CISA emitiram vários outros alertas (1, 2) sobre grupos apoiados pelo Estado explorando falhas do ManageEngine para atacar a infraestrutura crítica, incluindo serviços financeiros e saúde.
A vulnerabilidade
CVE-2022-42475
do FortiOS SSL-VPN também foi explorada como um zero-day em ataques contra organizações governamentais e alvos relacionados, como divulgado pela Fortinet em janeiro.
A Fortinet também advertiu que payloads adicionais foram baixadas nos dispositivos comprometidos durante os ataques, payloads que não puderam ser recuperados para análise.
Os clientes foram inicialmente instados a corrigir seus aparelhos contra ataques em andamento em meados de dezembro, após a Fortinet ter silenciosamente corrigido o bug em 28 de novembro, sem divulgar informações de que já estava sendo explorado.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...