Хакерские группы, поддерживаемые государством, проникли в американскую авиационную организацию, используя эксплойты, направленные на критические уязвимости Zoho ManageEngine и Fortinet. Об этом стало известно из совместного сообщения, опубликованного в четверг CISA, ФБР и Киберкомандованием США (USCYBERCOM).
Угрожающие группы, стоящие за этой атакой, пока не названы, но хотя в совместном сообщении не указывается конкретное государство, пресс-релиз USCYBERCOM связывает злоумышленников с иранской эксплуатацией.
CISA участвовала в ликвидации последствий инцидента в период с февраля по апрель и заявила, что хакерские группы находились в сети взломанной авиационной организации как минимум с января после взлома открытого для доступа в Интернет сервера с Zoho ManageEngine ServiceDesk Plus и межсетевого экрана Fortinet.
"CISA, ФБР и CNMF подтвердили, что государственные субъекты современных постоянных угроз (APT) использовали CVE-2022-47966 для получения несанкционированного доступа к публичному приложению (Zoho ManageEngine ServiceDesk Plus), установления постоянства и перемещения по сети", - говорится в сообщении.
"Данная уязвимость позволяет удаленно выполнить код в приложении ManageEngine. Также были замечены дополнительные участники APT, эксплуатировавшие CVE-2022-42475 для установления присутствия на устройстве межсетевого экрана организации".
Как предупреждают три американских ведомства, эти угрожающие группировки часто проверяют на наличие уязвимостей устройства, выходящие в Интернет, на которых не исправлены критические и легко эксплуатируемые ошибки безопасности.
Проникнув в сеть объекта атаки, злоумышленники сохраняют работоспособность взломанных компонентов сетевой инфраструктуры. Эти сетевые устройства, скорее всего, будут использоваться как ступеньки для латерального перемещения в сети жертвы, как вредоносная инфраструктура или как комбинация того и другого.
Защитникам сетей рекомендуется применять средства защиты, описанные в сегодняшнем сообщении и рекомендованные АНБ для обеспечения безопасности инфраструктуры.
К ним относятся, в частности, защита всех систем от всех известных уязвимостей, мониторинг несанкционированного использования программ удаленного доступа, удаление ненужных (отключенных) учетных записей и групп (особенно привилегированных).
Предыдущие атаки и предупреждения о необходимости защиты систем
CISA приказала федеральным агентствам защитить свои системы от эксплойтов CVE-2022-47966 в январе, через несколько дней после того, как после публикации в Интернете кода эксплойта proof-of-concept (PoC) угрожающие организации начали атаковать непропатченные экземпляры ManageEngine, открытые в Интернете для обратных оболочек.
Спустя несколько месяцев после предупреждения CISA северокорейская хакерская группа Lazarus также начала использовать дефект Zoho ManageEngine, успешно взломав медицинские организации и провайдера магистральной инфраструктуры Интернета.
ФБР и CISA выпустили еще несколько предупреждений (1, 2) о том, что поддерживаемые государством группы используют дефекты ManageEngine для атак на критически важные инфраструктуры, включая финансовые услуги и здравоохранение.
Уязвимость CVE-2022-42475 в системе FortiOS SSL-VPN также использовалась в качестве "нулевого дня" в атаках на правительственные организации и связанные с ними объекты, о чем компания Fortinet сообщила в январе.
Компания Fortinet также предупредила, что в ходе атак на скомпрометированные устройства загружались дополнительные вредоносные полезные нагрузки, которые не удалось извлечь для анализа.
Клиентам было рекомендовано обновить свои устройства для защиты от продолжающихся атак в середине декабря, после того как 28 ноября компания Fortinet тихо исправила ошибку, не опубликовав информацию о том, что она уже эксплуатируется в природе.
Обновление 11 сентября, 06:39 EDT: Заменили Zoho на ManageEngine в заголовке, чтобы избежать путаницы
Обновление 11 сентября, 08:31 EDT: Представитель компании Zoho прислал следующее заявление после публикации статьи:
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
