Ιρανοί χάκερ παραβιάζουν τον αεροπορικό οργανισμό των ΗΠΑ μέσω σφαλμάτων Zoho, Fortinet
Εικόνα: Midjourney
Ομάδες hacking που υποστηρίζονται από το κράτος έχουν παραβιάσει έναν αμερικανικό αεροναυτικό οργανισμό χρησιμοποιώντας εκμεταλλεύσεις που στοχεύουν σε κρίσιμα τρωτά σημεία του Zoho και του
Fortinet
, αποκάλυψε μια κοινή συμβουλευτική που δημοσιεύθηκε από την CISA, το FBI και την Διοίκηση Κυβερνοχώρου των Ηνωμένων Πολιτειών (USCYBERCOM).
Οι ομάδες απειλών πίσω από αυτήν την παραβίαση δεν έχουν ακόμη κατονομαστεί, αλλά ενώ η κοινή συμβουλευτική δεν συνέδεσε τους επιτιθέμενους με μια συγκεκριμένη πολιτεία, το δελτίο τύπου της USCYBERCOM
συνδέσεις
οι κακόβουλοι παράγοντες στις προσπάθειες εκμετάλλευσης του Ιράν.
Η CISA συμμετείχε στην απόκριση περιστατικών μεταξύ Φεβρουαρίου και Απριλίου και είπε ότι οι ομάδες χάκερ βρίσκονταν στο δίκτυο του παραβιασμένου αεροπορικού οργανισμού τουλάχιστον από τον Ιανουάριο μετά την παραβίαση ενός διακομιστή εκτεθειμένου στο Διαδίκτυο που εκτελούσε το Zoho ManageEngine ServiceDesk Plus και ένα τείχος προστασίας Fortinet.
«Η CISA, το FBI και η CNMF επιβεβαίωσαν ότι οι παράγοντες προηγμένης επίμονης απειλής (APT) εθνικών κρατών εκμεταλλεύτηκαν το CVE-2022-47966 για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε μια δημόσια εφαρμογή (Zoho ManageEngine ServiceDesk Plus), να εδραιώσουν την επιμονή και να μετακινηθούν πλευρικά μέσω του δίκτυο,”
διαβάζει η συμβουλευτική
.
“Αυτή η ευπάθεια επιτρέπει την απομακρυσμένη εκτέλεση κώδικα στην εφαρμογή ManageEngine. Επιπλέον παράγοντες APT παρατηρήθηκαν επίσης να εκμεταλλεύονται το CVE-2022-42475 για να επιβεβαιώσουν την παρουσία τους στη
συσκευή
τείχους προστασίας του οργανισμού.”
Όπως προειδοποιούν οι τρεις αμερικανικές υπηρεσίες, αυτές οι ομάδες απειλών συχνά σαρώνουν για ευπάθειες σε
συσκευές
που αντιμετωπίζουν το Διαδίκτυο χωρίς επιδιορθώσεις έναντι κρίσιμων και εύχρηστων σφαλμάτων ασφαλείας.
Αφού διεισδύσουν στο δίκτυο ενός στόχου, οι εισβολείς θα διατηρήσουν την επιμονή τους σε στοιχεία
υποδομή
ς δικτύου που έχουν παραβιαστεί. Αυτές οι συσκευές δικτύου πιθανότατα θα χρησιμοποιηθούν ως σκαλοπάτι για πλευρική κίνηση εντός των δικτύων των θυμάτων, ως κακόβουλη υποδομή ή συνδυασμός και των δύο.
Συνιστάται στους υπερασπιστές δικτύου να υποβάλουν αίτηση
μετριασμούς
κοινοποιούνται στο πλαίσιο των σημερινών συμβουλευτικών και βέλτιστων πρακτικών που συνιστά η NSA για
εξασφάλιση υποδομών
.
Περιλαμβάνουν, ενδεικτικά, την ασφάλεια όλων των συστημάτων έναντι όλων των γνωστών εκμεταλλευόμενων τρωτών σημείων, την παρακολούθηση για μη εξουσιοδοτημένη χρήση λογισμικού απομακρυσμένης πρόσβασης και την αφαίρεση περιττών (απενεργοποιημένων) λογαριασμών και ομάδων (ιδιαίτερα προνομιούχων λογαριασμών).
Προηγούμενες επιθέσεις και προειδοποιήσεις σε ασφαλή συστήματα
Η CISA διέταξε τις ομοσπονδιακές υπηρεσίες να ασφαλίσουν τα συστήματά τους έναντι των εκμεταλλεύσεων CVE-2022-47966 τον Ιανουάριο, μέρες αφότου οι φορείς απειλών άρχισαν να στοχεύουν μη επιδιορθωμένα στιγμιότυπα ManageEngine που εκτέθηκαν στο διαδίκτυο σε ανοιχτά αντίστροφα κελύφη μετά
κώδικας εκμετάλλευσης proof-of-concept (PoC).
κυκλοφόρησε διαδικτυακά.
Μήνες μετά την προειδοποίηση της CISA, η βορειοκορεάτικη ομάδα χάκερ
Lazarus
άρχισε επίσης να εκμεταλλεύεται το ελάττωμα του Zoho, παραβιάζοντας με επιτυχία οργανισμούς υγειονομικής περίθαλψης και έναν πάροχο υποδομής ραχοκοκαλιάς στο Διαδίκτυο.
Το FBI και η CISA εξέδωσαν πολλές άλλες ειδοποιήσεις (
1
,
2
) σχετικά με ομάδες που υποστηρίζονται από το κράτος που εκμεταλλεύονται τα ελαττώματα του ManageEngine για να στοχεύσουν κρίσιμες υποδομές, συμπεριλαμβανομένων των χρηματοοικονομικών υπηρεσιών και της υγειονομικής περίθαλψης.
Η ευπάθεια CVE-2022-42475 FortiOS SSL-VPN χρησιμοποιήθηκε επίσης ως μηδενική ημέρα σε επιθέσεις εναντίον κυβερνητικών οργανισμών και σχετικών στόχων, όπως αποκάλυψε η Fortinet τον Ιανουάριο.
Το Fortinet προειδοποίησε επίσης ότι πρόσθετα κακόβουλα ωφέλιμα φορτία λήφθηκαν στις παραβιασμένες συσκευές κατά τη διάρκεια των επιθέσεων, ωφέλιμα φορτία που δεν ήταν δυνατό να ανακτηθούν για ανάλυση.
Οι πελάτες κλήθηκαν για πρώτη φορά να επιδιορθώσουν τις συσκευές τους έναντι συνεχιζόμενων επιθέσεων στα μέσα Δεκεμβρίου, αφού η Fortinet διόρθωσε αθόρυβα το σφάλμα στις 28 Νοεμβρίου, χωρίς να γνωστοποιήσει πληροφορίες ότι ήδη γινόταν εκμετάλλευσή του στη φύση.