La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advirtió el jueves que múltiples actores estatales están explotando fallas de seguridad en Fortinet FortiOS SSL-VPN y Zoho ManageEngine ServiceDesk Plus para obtener acceso no autorizado y establecer persistencia en sistemas comprometidos.
“Los actores de amenazas persistentes avanzadas (APT) del estado-nación explotaron CVE-2022-47966 para obtener acceso no autorizado a una aplicación pública (Zoho ManageEngine ServiceDesk Plus), establecer persistencia y moverse lateralmente a través de la red”, según un alerta conjunta publicado por la agencia, junto con la Oficina Federal de Investigaciones (FBI) y la Cyber National Mission Force (CNMF).
Las identidades de los grupos de amenazas detrás de los ataques no han sido reveladas, aunque el Comando Cibernético de EE.UU. (USCYBERCOM) insinuado ante la participación de tripulaciones del Estado-nación iraní.
Los hallazgos se basan en un compromiso de respuesta a incidentes realizado por CISA en una organización no identificada del sector aeronáutico de febrero a abril de 2023. Hay evidencia que sugiere que la actividad maliciosa comenzó ya el 18 de enero de 2023.
CVE-2022-47966 hace referencia a una falla crítica de ejecución remota de código que permite que un atacante no autenticado se apodere por completo de instancias susceptibles.
Tras la explotación exitosa de CVE-2022-47966, los actores de amenazas obtuvieron acceso de nivel raíz al servidor web y tomaron medidas para descargar malware adicional, enumerar la red, recopilar credenciales de usuario administrativo y moverse lateralmente a través de la red.
No está claro de inmediato si como resultado se robó alguna información de propiedad exclusiva.
También se dice que la entidad en cuestión fue violada utilizando un segundo vector de acceso inicial que implicó la explotación de CVE-2022-42475, un error grave en Fortinet FortiOS SSL-VPN, para acceder al firewall.
“Se identificó que los actores de APT comprometieron y utilizaron credenciales de cuentas administrativas legítimas y deshabilitadas de un contratista previamente contratado, del cual la organización confirmó que el usuario había sido deshabilitado antes de la actividad observada”, dijo CISA.
También se ha observado que los atacantes inician múltiples Seguridad de capa de transporte (TLS): sesiones cifradas a múltiples direcciones IP, lo que indica la transferencia de datos desde el dispositivo firewall, además de aprovechar credenciales válidas para saltar desde el firewall a un servidor web e implementar shells web para acceso por puerta trasera.
En ambos casos, se dice que los adversarios desactivaron las credenciales de cuentas administrativas y eliminaron registros de varios servidores críticos en el entorno en un intento de borrar el rastro forense de sus actividades.
Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad
¿Consiguió el MFA? ¿PAM? ¿Protección de la cuenta de servicio? Descubra qué tan bien equipada está realmente su organización contra las amenazas a la identidad
“Entre principios de febrero y mediados de marzo de 2023, se observó anydesk.exe en tres hosts”, señaló CISA. “Los actores de APT comprometieron un host y se movieron lateralmente para instalar el ejecutable en los dos restantes”.
Actualmente no se sabe cómo se instaló AnyDesk en cada máquina. Otra técnica utilizada en los ataques implicó el uso del cliente legítimo ConnectWise ScreenConnect para descargar y ejecutar la herramienta de volcado de credenciales Mimikatz.
Es más, los actores intentaron explotar una vulnerabilidad conocida de Apache Log4j (CVE-2021-44228 o Log4Shell) en el sistema ServiceDesk para el acceso inicial, pero finalmente no tuvieron éxito.
A la luz de la continua explotación de fallas de seguridad, se recomienda que las organizaciones apliquen las últimas actualizaciones, controlen el uso no autorizado de software de acceso remoto y eliminen cuentas y grupos innecesarios para evitar su abuso.