La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) advirtió el jueves que múltiples actores del Nation-State están explotando fallas de seguridad en Fortinet FortiOS SSL-VPN y Zoho ManageEngine ServiceDesk Plus para obtener acceso no autorizado y establecer persistencia en sistemas comprometidos.
“Los actores de amenazas persistentes avanzadas (APT) de Nation-state explotaron CVE-2022-47966 para obtener acceso no autorizado a una aplicación pública (Zoho ManageEngine ServiceDesk Plus), establecer persistencia y moverse lateralmente a través de la red”, según una alerta conjunta publicada por la agencia, junto con la Oficina Federal de Investigaciones (FBI) y la Fuerza de Misión Nacional Cibernética (CNMF).
Las identidades de los grupos de amenazas detrás de los ataques no han sido reveladas, aunque el Comando Cibernético de los Estados Unidos (USCYBERCOM) insinuó la participación de las tripulaciones del estado-nación iraní.
Los hallazgos se basan en un compromiso de respuesta a incidentes realizado por CISA en una organización del sector aeronáutico no identificada de febrero a abril de 2023. Hay evidencia que sugiere que la actividad maliciosa comenzó ya el 18 de enero de 2023.
CVE-2022-47966 hace referencia a un error crítico de ejecución remota de código que permite a un atacante no autenticado hacerse cargo por completo de las instancias susceptibles.
Tras la explotación exitosa de CVE-2022-47966, los actores de amenazas obtuvieron acceso de nivel raíz al servidor web y tomaron medidas para descargar malware adicional, enumerar la red, recopilar credenciales de usuario administrativo y moverse lateralmente a través de la red.
No está claro de inmediato si alguna información de propiedad fue robada como resultado.
También se dice que la entidad en cuestión fue violada utilizando un segundo vector de acceso inicial que implicó la explotación de CVE-2022-42475, un error grave en Fortinet FortiOS SSL-VPN, para acceder al firewall.
“Se identificó que los actores de APT comprometieron y usaron credenciales de cuentas administrativas legítimas y deshabilitadas de un contratista previamente contratado, de las cuales la organización confirmó que el usuario había sido deshabilitado antes de la actividad observada”, dijo CISA.
También se ha observado que los atacantes inician múltiples sesiones cifradas con Transport Layer Security (TLS) en varias direcciones IP, lo que indica la transferencia de datos desde el dispositivo de firewall, además de aprovechar las credenciales válidas para saltar del firewall a un servidor web e implementar shells web para el acceso de puerta trasera.
En ambos casos, se dice que los adversarios deshabilitaron las credenciales de la cuenta administrativa y eliminaron los registros de varios servidores críticos en el entorno en un intento de borrar el rastro forense de sus actividades.
“Entre principios de febrero y mediados de marzo de 2023, anydesk.exe fue observado en tres equipos”, señaló CISA. “Actores APT comprometieron un equipo y se movieron lateralmente para instalar el ejecutable en los otros dos”.
Actualmente no se sabe cómo se instaló AnyDesk en cada máquina. Otra técnica utilizada en los ataques implicó el uso del cliente legítimo ConnectWise ScreenConnect para descargar y ejecutar la herramienta de volcado de credenciales Mimikatz.
Además, los actores intentaron explotar una vulnerabilidad conocida de Apache Log4j (CVE-2021-44228 o Log4Shell) en el sistema ServiceDesk para el acceso inicial, pero finalmente no tuvieron éxito.
A la luz de la explotación continua de las fallas de seguridad, se recomienda que las organizaciones apliquen las últimas actualizaciones, supervisen el uso no autorizado del software de acceso remoto y purguen cuentas y grupos innecesarios para evitar su abuso.
