Ομάδες hacking υποστηριζόμενες από το κράτος έχουν παραβιάσει μια αεροναυτική οργάνωση των Ηνωμένων Πολιτειών χρησιμοποιώντας exploits που στοχεύουν κρίσιμες ευπάθειες των Zoho και Fortinet, όπως αποκάλυψε μια κοινή ανακοίνωση που δημοσίευσαν η CISA, το FBI και το Αμερικανικό Συμβούλιο Κυβερνοασφάλειας (USCYBERCOM) την Πέμπτη.
Δείτε επίσης: Chrome: Όλοι οι χρήστες θα μεταβούν στο Enhanced Safe Browsing feature
Οι ομάδες πίσω από αυτήν τη διαρροή δεν έχουν ακόμα ονομαστεί, αλλά ενώ η κοινή συμβουλευτική δεν συνδέει τους επιτιθέμενους με ένα συγκεκριμένο κράτος, η ανακοίνωση τύπου του USCYBERCOM συνδέει τους κακόβουλους δράστες με προσπάθειες εκμετάλλευσης από το Ιράν.
Η CISA συμμετείχε στην αντίδραση στο περιστατικό από τον Φεβρουάριο έως τον Απρίλιο και ανέφερε ότι οι ομάδες hacking είχαν εισβάλει στο δίκτυο του πληγείσας αεροπορικής οργάνωσης από τον Ιανουάριο, αφού χάκαραν έναν server που ήταν εκτεθειμένος στο Διαδίκτυο και λειτουργούσε το Zoho ManageEngine ServiceDesk Plus και ένα Fortinet firewall.
“Η CISA, το FBI και η CNMF επιβεβαίωσαν ότι οι κακόβουλοι παράγοντες APT εκμεταλλεύτηκαν το CVE-2022-47966 για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε μια δημόσια εφαρμογή (Zoho ManageEngine ServiceDesk Plus), να εδραιώσουν το persistence και να κινηθούν πλευρικά μέσω του δικτύου”, αναφέρεται στο advisory.
Δείτε επίσης: Το κέντρο τεχνολογίας Cyberport δέχτηκε επίθεση ransomware
“Αυτή η ευπάθεια επιτρέπει την απομακρυσμένη εκτέλεση κώδικα στην εφαρμογή ManageEngine. Επιπλέον παράγοντες APT παρατηρήθηκαν επίσης να εκμεταλλεύονται το CVE-2022-42475 για να επιβεβαιώσουν την παρουσία τους στη συσκευή firewall του οργανισμού.”
Όπως προειδοποιούν οι τρεις αμερικανικές υπηρεσίες, αυτές οι ομάδες συχνά ανιχνεύουν ευπάθειες σε συσκευές που είναι προσβάσιμες στο διαδίκτυο και δεν έχουν ενημερωθεί για κρίσιμα και εύκολα εκμεταλλεύσιμα προβλήματα ασφαλείας.
Μετά τη διείσδυση στο δίκτυο ενός στόχου, οι επιτιθέμενοι θα διατηρήσουν το persistence τους στα χακαρισμένα components της υποδομής του δικτύου. Αυτές οι δικτυακές συσκευές θα χρησιμοποιηθούν πιθανότατα ως βήματα για την πλευρική κίνηση εντός των δικτύων των θυμάτων, ως κακόβουλες υποδομές ή συνδυασμός και των δύο.
Συνιστάται στους υπερασπιστές δικτύου να εφαρμόσουν τις μειώσεις που κοινοποιούνται στη σημερινή ειδοποίηση και στις συνιστώμενες από την NSA βέλτιστες πρακτικές για την ασφάλεια της υποδομής.
Περιλαμβάνουν, ενδεικτικά, την ασφάλεια όλων των συστημάτων έναντι όλων των γνωστών εκμεταλλευόμενων τρωτών σημείων, την παρακολούθηση για μη εξουσιοδοτημένη χρήση λογισμικού απομακρυσμένης πρόσβασης και την αφαίρεση περιττών (απενεργοποιημένων) λογαριασμών και ομάδων (ιδιαίτερα προνομιούχων λογαριασμών).
Δείτε επίσης: Microsoft: Βορειοκορεάτες χάκερ επιτίθενται σε ρωσικούς στόχους
Προηγούμενες επιθέσεις και προειδοποιήσεις για την ασφάλεια των συστημάτων
Το CISA επέβαλε στις ομοσπονδιακές υπηρεσίες να προστατεύσουν τα συστήματά τους από τα exploits του CVE-2022-47966 τον Ιανουάριο, λίγες ημέρες μετά την έναρξη επιθέσεων από απειλητικούς παράγοντες σε unpatched ManageEngine instances που εκτίθενται στο διαδίκτυο για να ανοίξουν reverse shells μετά τη δημοσίευση του proof-of-concept (PoC) στο διαδίκτυο.
Μήνες μετά την προειδοποίηση του CISA, η βόρειοκορεατική ομάδα Lazarus άρχισε επίσης να εκμεταλλεύεται την αδυναμία του Zoho, καταφέρνοντας να παραβιάσει με επιτυχία οργανισμούς υγείας και έναν πάροχο υποδομής δικτύου.
Το FBI και το CISA εξέδωσαν πολλές άλλες προειδοποιήσεις (1, 2) σχετικά με ομάδες που υποστηρίζονται από το κράτος που εκμεταλλεύονται ελαττώματα του ManageEngine για να στοχεύσουν κρίσιμες υποδομές, συμπεριλαμβανομένων των χρηματοοικονομικών υπηρεσιών και της υγείας.
Η ευπάθεια CVE-2022-42475 FortiOS SSL-VPN χρησιμοποιήθηκε επίσης ως zero-day σε επιθέσεις εναντίον κυβερνητικών οργανισμών και σχετικών στόχων, όπως αποκάλυψε η Fortinet τον Ιανουάριο.
Η Fortinet προειδοποίησε επίσης ότι κατά τη διάρκεια των επιθέσεων, επιπλέον κακόβουλα φορτία λήφθηκαν στις παραβιασμένες συσκευές, φορτία που δεν ήταν δυνατόν να ανακτηθούν για ανάλυση.
Οι πελάτες ενθαρρύνθηκαν αρχικά να ενημερώσουν τις συσκευές τους για πιθανές επιθέσεις από το μεσαίο Δεκέμβρη, αφού η Fortinet διόρθωσε αθόρυβα το σφάλμα στις 28 Νοεμβρίου χωρίς να κοινοποιήσει πληροφορίες ότι ήδη χρησιμοποιείτο από κακόβουλους.
Πηγή πληροφοριών: bleepingcomputer.com