La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) advirtió que múltiples actores estatales están explotando fallas de seguridad en Fortinet FortiOS SSL-VPN y Zoho ManageEngine ServiceDesk Plus para obtener acceso no autorizado y establecer persistencia en sistemas comprometidos.
"Los actores de amenazas persistentes avanzadas (APT) de los estados-nación explotaron CVE-2022-47966 para obtener acceso no autorizado a una aplicación pública (Zoho ManageEngine ServiceDesk Plus), establecer persistencia y moverse lateralmente a través de la red", según una alerta conjunta publicado por la agencia, junto con la Oficina Federal de Investigaciones (FBI) y la Cyber National Mission Force (CNMF).
Las identidades de los grupos de amenaza detrás de los ataques no han sido reveladas, aunque el Comando Cibernético de Estados Unidos (USCYBERCOM) insinuó la participación de equipos de estados-nación iraníes.
Los hallazgos se basan en la respuesta a incidentes realizado por CISA en una organización no identificada del sector aeronáutico de febrero a abril de 2023. Hay evidencia que sugiere que la actividad maliciosa comenzó el 18 de enero de 2023.
CVE-2022-47966 hace referencia a una falla crítica de ejecución remota de código que permite que un atacante no autenticado se apodere por completo de instancias susceptibles. Tras la explotación exitosa, los actores de amenazas obtuvieron acceso de nivel de root del servidor web y descargaron malware adicional, enumeraron la red, recopilaron credenciales de usuario administrativo y se movieron lateralmente a través de la red. No está claro si como resultado se robó alguna información de propiedad intelectual.
También se dice que la entidad en cuestión fue atacada utilizando un segundo vector de acceso inicial que implicó la explotación de CVE-2022-42475, un error grave en Fortinet FortiOS SSL-VPN, para acceder al firewall.
"Se identificó que los actores de APT comprometieron y utilizaron credenciales de cuentas administrativas legítimas y deshabilitadas de un contratista previamente contratado, del cual la organización confirmó que el usuario había sido deshabilitado antes de la actividad observada", dijo CISA.
También se ha observado a los atacantes iniciando múltiples sesiones cifradas con Transport Layer Security (TLS) a múltiples direcciones IP, lo que indica la transferencia de datos desde el dispositivo firewall, además de aprovechar credenciales válidas para saltar del firewall a un servidor web e implementar shells web para acceso por puerta trasera.
En ambos casos, se dice que los adversarios deshabilitaron las credenciales de cuentas administrativas y eliminaron registros de varios servidores críticos en el entorno en un intento de borrar el rastro forense de sus actividades.
"Entre principios de febrero y mediados de marzo de 2023, se observó anydesk.exe en tres hosts", señaló CISA. "Los actores de APT comprometieron un host y se movieron lateralmente para instalar el ejecutable en los dos restantes". Actualmente no se sabe cómo se instaló AnyDesk en cada máquina. Otra técnica utilizada en los ataques implicó el uso del cliente legítimo ConnectWise ScreenConnect para descargar y ejecutar la herramienta de volcado de credenciales Mimikatz.
Es más, los actores intentaron explotar una vulnerabilidad conocida de Apache Log4j (CVE-2021-44228 o Log4Shell) en el sistema ServiceDesk para el acceso inicial, pero finalmente no tuvieron éxito.
A la luz de la explotación continua de las fallas de seguridad, se recomienda que las organizaciones apliquen las últimas actualizaciones, controlen el uso no autorizado de software de acceso remoto y eliminen cuentas y grupos innecesarios para evitar su abuso.
Fuente: THN