Hackers iranianos invadem organização de aviação dos EUA através de bugs no ManageEngine, Fortinet
11 de Setembro de 2023

Grupos de hackers apoiados pelo Estado violaram uma organização aeronáutica dos Estados Unidos usando exploits direcionados a vulnerabilidades críticas da Zoho ManageEngine e da Fortinet, revelou um aviso conjunto publicado pela CISA, FBI e o Comando Cibernético dos Estados Unidos (USCYBERCOM), na quinta-feira.

Os grupos de ameaças por trás dessa violação ainda não foram nomeados, mas enquanto o comunicado conjunto não conectou os atacantes a um estado específico, o comunicado de imprensa do USCYBERCOM relacionou os atores mal-intencionados aos esforços de exploração iranianos.

A CISA fez parte da resposta ao incidente entre fevereiro e abril e disse que os grupos de hackers estiveram na rede da organização de aviação comprometida pelo menos desde janeiro, após invadir um servidor exposto à Internet que executava o Zoho ManageEngine ServiceDesk Plus e um firewall da Fortinet.

"CISA, FBI e CNMF confirmaram que atores de ameaças persistentes avançadas (APT) apoiados por Estados-nação exploraram o CVE-2022-47966 para obter acesso não autorizado a um aplicativo voltado ao público (Zoho ManageEngine ServiceDesk Plus), estabelecer persistência e se deslocar lateralmente pela rede," diz o aviso.

"Esta vulnerabilidade permite a execução de códigos remotos no aplicativo ManageEngine.

Outros atores APT também foram observados explorando o CVE-2022-42475 para estabelecer presença no dispositivo de firewall da organização."

Como as três agências dos Estados Unidos alertam, esses grupos de ameaças frequentemente escaneiam em busca de vulnerabilidades em dispositivos voltados para a Internet não corrigidos contra bugs de segurança críticos e fáceis de explorar.

Após infiltrar-se na rede de um alvo, os atacantes manterão persistência nos componentes de infraestrutura de rede hackeados.

Esses dispositivos de rede provavelmente serão usados como degraus para o movimento lateral nas redes das vítimas, como infraestrutura maliciosa, ou uma combinação de ambos.

Os defensores de rede são aconselhados a aplicar mitigação compartilhada no aviso de hoje e as melhores práticas recomendadas pela NSA para garantir a infraestrutura.

Elas incluem, mas não estão limitadas a proteger todos os sistemas contra todas as vulnerabilidades exploradas conhecidas, monitorar o uso não autorizado de software de acesso remoto e remover contas e grupos desnecessários (desabilitados) (especialmente contas privilegiadas).

A CISA ordenou às agências federais que protegessem seus sistemas contra exploits CVE-2022-47966 em janeiro, dias após os atores de ameaças começaram a visar instâncias do ManageEngine não corrigidas expostas online para abrir shells reversas depois que o código de exploração de prova de conceito (PoC) foi divulgado online.

Meses após o aviso da CISA, o grupo de hackers Lazarus da Coreia do Norte também começou a explorar a falha do Zoho ManageEngine, violando com sucesso organizações de saúde e um provedor de infraestrutura de backbone de Internet.

O FBI e a CISA emitiram vários outros alertas (1, 2) sobre grupos apoiados pelo Estado explorando falhas do ManageEngine para atacar a infraestrutura crítica, incluindo serviços financeiros e saúde.

A vulnerabilidade CVE-2022-42475 do FortiOS SSL-VPN também foi explorada como um zero-day em ataques contra organizações governamentais e alvos relacionados, como divulgado pela Fortinet em janeiro.

A Fortinet também advertiu que payloads adicionais foram baixadas nos dispositivos comprometidos durante os ataques, payloads que não puderam ser recuperados para análise.

Os clientes foram inicialmente instados a corrigir seus aparelhos contra ataques em andamento em meados de dezembro, após a Fortinet ter silenciosamente corrigido o bug em 28 de novembro, sem divulgar informações de que já estava sendo explorado.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...