La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advirti\u00f3 el jueves que m\u00faltiples actores estatales est\u00e1n explotando fallas de seguridad en Fortinet FortiOS SSL-VPN y Zoho ManageEngine ServiceDesk Plus para obtener acceso no autorizado y establecer persistencia en sistemas comprometidos.<\/p>\n
“Los actores de amenazas persistentes avanzadas (APT) del estado-naci\u00f3n explotaron CVE-2022-47966 para obtener acceso no autorizado a una aplicaci\u00f3n p\u00fablica (Zoho ManageEngine ServiceDesk Plus), establecer persistencia y moverse lateralmente a trav\u00e9s de la red”, seg\u00fan un alerta conjunta<\/a> publicado por la agencia, junto con la Oficina Federal de Investigaciones (FBI) y la Cyber \u200b\u200b\u200b\u200bNational Mission Force (CNMF).<\/p>\n Las identidades de los grupos de amenazas detr\u00e1s de los ataques no han sido reveladas, aunque el Comando Cibern\u00e9tico de EE.UU. (USCYBERCOM) insinuado<\/a> ante la participaci\u00f3n de tripulaciones del Estado-naci\u00f3n iran\u00ed.<\/p>\n Los hallazgos se basan en un compromiso de respuesta a incidentes realizado por CISA en una organizaci\u00f3n no identificada del sector aeron\u00e1utico de febrero a abril de 2023. Hay evidencia que sugiere que la actividad maliciosa comenz\u00f3 ya el 18 de enero de 2023.<\/p>\n CVE-2022-47966 hace referencia a una falla cr\u00edtica de ejecuci\u00f3n remota de c\u00f3digo que permite que un atacante no autenticado se apodere por completo de instancias susceptibles.<\/p>\n Tras la explotaci\u00f3n exitosa de CVE-2022-47966, los actores de amenazas obtuvieron acceso de nivel ra\u00edz al servidor web y tomaron medidas para descargar malware adicional, enumerar la red, recopilar credenciales de usuario administrativo y moverse lateralmente a trav\u00e9s de la red.<\/p>\n No est\u00e1 claro de inmediato si como resultado se rob\u00f3 alguna informaci\u00f3n de propiedad exclusiva.<\/p>\n Tambi\u00e9n se dice que la entidad en cuesti\u00f3n fue violada utilizando un segundo vector de acceso inicial que implic\u00f3 la explotaci\u00f3n de CVE-2022-42475, un error grave en Fortinet FortiOS SSL-VPN, para acceder al firewall.<\/p>\n “Se identific\u00f3 que los actores de APT comprometieron y utilizaron credenciales de cuentas administrativas leg\u00edtimas y deshabilitadas de un contratista previamente contratado, del cual la organizaci\u00f3n confirm\u00f3 que el usuario hab\u00eda sido deshabilitado antes de la actividad observada”, dijo CISA.<\/p>\n Tambi\u00e9n se ha observado que los atacantes inician m\u00faltiples Seguridad de capa de transporte (TLS<\/a>): sesiones cifradas a m\u00faltiples direcciones IP, lo que indica la transferencia de datos desde el dispositivo firewall, adem\u00e1s de aprovechar credenciales v\u00e1lidas para saltar desde el firewall a un servidor web e implementar shells web para acceso por puerta trasera.<\/p>\n En ambos casos, se dice que los adversarios desactivaron las credenciales de cuentas administrativas y eliminaron registros de varios servidores cr\u00edticos en el entorno en un intento de borrar el rastro forense de sus actividades.<\/p>\n Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad<\/p>\n <\/a><\/p>\n \u00bfConsigui\u00f3 el MFA? \u00bfPAM? \u00bfProtecci\u00f3n de la cuenta de servicio? Descubra qu\u00e9 tan bien equipada est\u00e1 realmente su organizaci\u00f3n contra las amenazas a la identidad<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-malware-para-Android-Infame-Chisel-respaldado-por-el-Estado.png\")
<\/a><\/center><\/section>\n