ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) perşembe günü, çok sayıda ulus devlet aktörünün, yetkisiz erişim elde etmek ve ele geçirilen sistemlerde kalıcılık sağlamak için Fortinet FortiOS SSL-VPN ve Zoho ManageEngine ServiceDesk Plus’taki güvenlik kusurlarından yararlandığı konusunda uyardı.
“Ulus devleti gelişmiş kalıcı tehdit (APT) aktörleri, halka açık bir uygulamaya (Zoho ManageEngine ServiceDesk Plus) yetkisiz erişim sağlamak, kalıcılık sağlamak ve ağ üzerinde yanal olarak hareket etmek için CVE-2022-47966’dan yararlandı.” ortak alarm Ajans tarafından Federal Soruşturma Bürosu (FBI) ve Siber Ulusal Görev Gücü (CNMF) ile birlikte yayınlandı.
Saldırıların arkasındaki tehdit gruplarının kimlikleri henüz açıklanmadı ancak ABD Siber Komutanlığı (USCYBERCOM) ima etti İran ulus devleti ekiplerinin katılımıyla.
Bulgular, CISA tarafından Şubat ayından Nisan 2023’e kadar isimsiz bir havacılık sektörü kuruluşunda yürütülen bir olay müdahale çalışmasına dayanmaktadır. Kötü niyetli faaliyetin 18 Ocak 2023 gibi erken bir tarihte başladığını gösteren kanıtlar bulunmaktadır.
CVE-2022-47966, kimliği doğrulanmamış bir saldırganın duyarlı örnekleri tamamen ele geçirmesine olanak tanıyan kritik bir uzaktan kod yürütme kusurunu ifade eder.
CVE-2022-47966’nın başarılı bir şekilde kullanılmasının ardından, tehdit aktörleri web sunucusuna kök düzeyinde erişim elde etti ve ek kötü amaçlı yazılım indirmek, ağı numaralandırmak, yönetici kullanıcı kimlik bilgilerini toplamak ve ağ üzerinde yanal olarak hareket etmek için adımlar attı.
Sonuç olarak herhangi bir özel bilginin çalınıp çalınmadığı hemen belli değil.
Söz konusu varlığın, güvenlik duvarına erişmek için Fortinet FortiOS SSL-VPN’deki ciddi bir hata olan CVE-2022-42475’in istismar edilmesini gerektiren ikinci bir başlangıç erişim vektörü kullanılarak da ihlal edildiği söyleniyor.
CISA, “APT aktörlerinin daha önce işe alınmış bir yüklenicinin devre dışı bırakılmış, meşru idari hesap kimlik bilgilerini ele geçirdiği ve kullandığı belirlendi; kuruluş, kullanıcının gözlemlenen etkinlikten önce devre dışı bırakıldığını doğruladı.” dedi.
Saldırganların birden fazla Aktarım Katmanı Güvenliği başlattığı da gözlemlendi (TLS)-birden fazla IP adresine şifrelenmiş oturumlar, güvenlik duvarı cihazından veri aktarımını belirtir, ayrıca güvenlik duvarından bir web sunucusuna atlamak ve arka kapı erişimi için web kabuklarını dağıtmak için geçerli kimlik bilgilerinden faydalanır.
Her iki durumda da, saldırganların, faaliyetlerinin adli izini silmek amacıyla, yönetim hesabı kimlik bilgilerini devre dışı bıraktıkları ve ortamdaki çeşitli kritik sunuculardan günlükleri sildiği söyleniyor.
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
CISA, “Şubat başı ile Mart 2023 ortası arasında, anydesk.exe üç ana bilgisayarda gözlemlendi” dedi. “APT aktörleri bir ana bilgisayarı tehlikeye attı ve yürütülebilir dosyayı kalan ikisine yüklemek için yana doğru hareket etti.”
Şu anda AnyDesk’in her makineye nasıl kurulduğu bilinmiyor. Saldırılarda kullanılan bir diğer teknik, kimlik bilgisi dökümü aracı Mimikatz’ı indirmek ve çalıştırmak için meşru ConnectWise ScreenConnect istemcisinin kullanılmasını gerektiriyordu.
Dahası, aktörler ilk erişim için ServiceDesk sistemindeki bilinen bir Apache Log4j güvenlik açığından (CVE-2021-44228 veya Log4Shell) yararlanmaya çalıştı ancak sonuçta başarısız oldu.
Güvenlik kusurlarının sürekli olarak istismar edilmesi ışığında, kuruluşların en son güncellemeleri uygulamaları, uzaktan erişim yazılımının yetkisiz kullanımını izlemeleri ve kötüye kullanımları önlemek için gereksiz hesapları ve grupları temizlemeleri önerilir.