L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a averti jeudi que plusieurs acteurs étatiques exploitaient les failles de sécurité de Fortinet FortiOS SSL-VPN et de Zoho ManageEngine ServiceDesk Plus pour obtenir un accès non autorisé et établir une persistance sur les systèmes compromis.
« Les acteurs des menaces persistantes avancées (APT) au niveau national ont exploité CVE-2022-47966 pour obtenir un accès non autorisé à une application publique (Zoho ManageEngine ServiceDesk Plus), établir la persistance et se déplacer latéralement à travers le réseau », selon un rapport. alerte commune publié par l’agence, aux côtés du Federal Bureau of Investigation (FBI) et de la Cyber National Mission Force (CNMF).
L’identité des groupes menaçants à l’origine des attaques n’a pas été révélée, bien que l’US Cyber Command (USCYBERCOM) laissé entendre à l’implication des équipages de l’État-nation iranien.
Les résultats sont basés sur une mission de réponse aux incidents menée par la CISA auprès d’une organisation anonyme du secteur aéronautique de février à avril 2023. Il existe des preuves suggérant que l’activité malveillante a commencé dès le 18 janvier 2023.
CVE-2022-47966 fait référence à une faille critique d’exécution de code à distance qui permet à un attaquant non authentifié de prendre complètement le contrôle des instances sensibles.
Suite à l’exploitation réussie de CVE-2022-47966, les auteurs de la menace ont obtenu un accès au niveau racine au serveur Web et ont pris des mesures pour télécharger des logiciels malveillants supplémentaires, énumérer le réseau, collecter les informations d’identification des utilisateurs administratifs et se déplacer latéralement sur le réseau.
Il n’est pas immédiatement clair si des informations exclusives ont été volées en conséquence.
L’entité en question aurait également été piratée en utilisant un deuxième vecteur d’accès initial qui impliquait l’exploitation de CVE-2022-42475, un bug grave de Fortinet FortiOS SSL-VPN, pour accéder au pare-feu.
« Il a été identifié que les acteurs APT ont compromis et utilisé des informations d’identification de compte administratif légitimes et désactivées d’un sous-traitant précédemment embauché, dont l’organisation a confirmé que l’utilisateur avait été désactivé avant l’activité observée », a déclaré CISA.
Les attaquants ont également été observés en train de lancer plusieurs Transport Layer Security (TLS)-sessions cryptées vers plusieurs adresses IP, indiquant le transfert de données depuis le périphérique pare-feu, en plus d’exploiter des informations d’identification valides pour passer du pare-feu à un serveur Web et déployer des shells Web pour un accès par porte dérobée.
Dans les deux cas, les adversaires auraient désactivé les informations d’identification du compte administratif et supprimé les journaux de plusieurs serveurs critiques de l’environnement dans le but d’effacer la trace médico-légale de leurs activités.
Bien trop vulnérable : découvrir l’état de la surface d’attaque d’identité
MFA atteinte ? PAM ? Protection du compte de service ? Découvrez à quel point votre organisation est réellement équipée contre les menaces d’identité
« Entre début février et mi-mars 2023, anydesk.exe a été observé sur trois hôtes », a noté CISA. « Les acteurs APT ont compromis un hôte et se sont déplacés latéralement pour installer l’exécutable sur les deux autres. »
On ne sait actuellement pas comment AnyDesk a été installé sur chaque machine. Une autre technique utilisée dans les attaques impliquait l’utilisation du client légitime ConnectWise ScreenConnect pour télécharger et exécuter l’outil de dumping d’informations d’identification Mimikatz.
De plus, les acteurs ont tenté d’exploiter une vulnérabilité connue d’Apache Log4j (CVE-2021-44228 ou Log4Shell) dans le système ServiceDesk pour un accès initial, mais n’ont finalement pas réussi.
À la lumière de l’exploitation continue des failles de sécurité, il est recommandé aux organisations d’appliquer les dernières mises à jour, de surveiller toute utilisation non autorisée des logiciels d’accès à distance et de supprimer les comptes et groupes inutiles pour éviter tout abus.