Grupos respaldados por el estado han violado una organización aeronáutica de EE. UU. utilizando exploits dirigidos a vulnerabilidades críticas de Zoho y Fortinet, según una advertencia conjunta publicada por CISA, el FBI y el Comando Cibernético de los Estados Unidos (USCYBERCOM) el jueves.
Los grupos de amenazas detrás de esta violación aún no han sido nombrados, pero aunque la advertencia conjunta no conectó a los atacantes con un estado específico, el comunicado de prensa de USCYBERCOM vincula a los actores maliciosos con los esfuerzos de explotación iraníes. CISA formó parte de la respuesta al incidente entre febrero y abril y dijo que los grupos de piratas informáticos habían estado en la red de la organización de aviación comprometida al menos desde enero, después de piratear un servidor expuesto a Internet que ejecutaba Zoho ManageEngine ServiceDesk Plus y un firewall Fortinet.
"CISA, FBI y CNMF confirmaron que actores avanzados de amenazas persistentes (APT) respaldados por el estado explotaron CVE-2022-47966 para obtener acceso no autorizado a una aplicación de cara al público (Zoho ManageEngine ServiceDesk Plus), establecer persistencia y moverse lateralmente a través de la red", dice la advertencia.
"Esta vulnerabilidad permite la ejecución remota de código en la aplicación ManageEngine. También se observó a otros actores APT explotando CVE-2022-42475 para establecer presencia en el dispositivo de firewall de la organización".
Como advierten las tres agencias de EE. UU., estos grupos de amenazas escanean con frecuencia vulnerabilidades en dispositivos expuestos a Internet sin parches contra fallos críticos y fáciles de explotar en seguridad.
Después de infiltrarse en la red de un objetivo, los atacantes mantendrán la persistencia en los componentes de la infraestructura de red pirateados. Es probable que estos dispositivos de red se utilicen como escalones para el movimiento lateral dentro de las redes de las víctimas, como infraestructura maliciosa o una combinación de ambos.
Se recomienda a los defensores de la red aplicar las mitigaciones compartidas en la advertencia de hoy y las mejores prácticas recomendadas por la NSA para asegurar la infraestructura.
Estas incluyen, entre otras cosas, asegurar todos los sistemas contra todas las vulnerabilidades explotadas conocidas, monitorear el uso no autorizado de software de acceso remoto y eliminar cuentas y grupos innecesarios (deshabilitados), especialmente cuentas privilegiadas.
CISA ordenó a las agencias federales asegurar sus sistemas contra exploits CVE-2022-47966 en enero, días después de que los actores de amenazas comenzaran a atacar instancias sin parches de ManageEngine expuestas en línea para abrir shells inversos después de que se publicara en línea código de explotación de prueba de concepto (PoC).
Meses después de la advertencia de CISA, el grupo de piratas informáticos norcoreanos Lazarus también comenzó a explotar la vulnerabilidad de Zoho, violando con éxito organizaciones de atención médica y un proveedor de infraestructura de red de Internet.
El FBI y CISA emitieron múltiples alertas (1, 2) sobre grupos respaldados por el estado que explotaban fallos de ManageEngine para apuntar a infraestructuras críticas, incluidos servicios financieros y atención médica.
La vulnerabilidad CVE-2022-42475 de FortiOS SSL-VPN también se explotó como un zero-day en ataques contra organizaciones gubernamentales y objetivos relacionados, según lo revelado por Fortinet en enero.
Fortinet también advirtió que se descargaron cargas maliciosas adicionales en los dispositivos comprometidos durante los ataques, cargas que no se pudieron recuperar para su análisis.
A los clientes se les instó por primera vez a parchear sus dispositivos contra los ataques en curso a mediados de diciembre, después de que Fortinet solucionara silenciosamente el fallo el 28 de noviembre sin revelar información de que ya se estaba explotando en la naturaleza.
Aviso legal: Este documento ha sido compartido desde la página de Bleeping Computer con el único propósito de fomentar el discurso sobre el tema de la ciberseguridad y las buenas prácticas de ciberseguridad. Nuestra intención no es difamar a ninguna empresa, persona o entidad legal. Toda la información mencionada en este documento se basa en informes y datos disponibles gratuitamente en línea. Never Off Technology no se atribuye ningún crédito ni responsabilidad por la precisión de cualquier fuente o información compartida en este documento.
