Bl0ckch41nnewsEquipos de Estados-Nación aprovecharon vulnerabilidades en Fortinet, ManageEngine y Log4j ~ Segu-Info
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA)
advirtió que múltiples actores estatales están explotando fallas de seguridad
en Fortinet FortiOS SSL-VPN y Zoho ManageEngine ServiceDesk Plus para obtener
acceso no autorizado y establecer persistencia en sistemas comprometidos.
«Los actores de amenazas persistentes avanzadas (APT) de los estados-nación
explotaron CVE-2022-47966 para obtener acceso no autorizado a una aplicación
pública (Zoho ManageEngine ServiceDesk Plus), establecer persistencia y
moverse lateralmente a través de la red», según una
alerta conjunta publicado por la agencia, junto con la Oficina Federal de Investigaciones (FBI) y la Cyber National
Mission Force (CNMF).
Las identidades de los grupos de amenaza detrás de los ataques no han sido
reveladas, aunque el Comando Cibernético de Estados Unidos (USCYBERCOM)
insinuó
la participación de equipos de estados-nación iraníes.
Los hallazgos se basan en la respuesta a incidentes realizado por CISA en una
organización no identificada del sector aeronáutico de febrero a abril de
2023. Hay evidencia que sugiere que la actividad maliciosa comenzó el 18 de
enero de 2023.
CVE-2022-47966 hace referencia a una falla crítica de ejecución remota de código
que permite que un atacante no autenticado se apodere por completo de
instancias susceptibles. Tras la explotación exitosa, los actores de amenazas
obtuvieron acceso de nivel de root del servidor web y
descargaron malware adicional, enumeraron la red, recopilaron credenciales de
usuario administrativo y se movieron lateralmente a través de la red. No está
claro si como resultado se robó alguna información de propiedad intelectual.
También se dice que la entidad en cuestión fue atacada utilizando un segundo
vector de acceso inicial que implicó la explotación de
CVE-2022-42475, un error grave en Fortinet FortiOS SSL-VPN, para acceder al firewall.
«Se identificó que los actores de APT comprometieron y utilizaron
credenciales de cuentas administrativas legítimas y deshabilitadas de un
contratista previamente contratado, del cual la organización confirmó que el
usuario había sido deshabilitado antes de la actividad observada», dijo CISA.
También se ha observado a los atacantes iniciando múltiples sesiones cifradas
con Transport Layer Security (TLS) a múltiples direcciones IP, lo que indica
la transferencia de datos desde el dispositivo firewall, además de aprovechar
credenciales válidas para saltar del firewall a un servidor web e implementar
shells web para acceso por puerta trasera.
En ambos casos, se dice que los adversarios deshabilitaron las credenciales de
cuentas administrativas y eliminaron registros de varios servidores críticos
en el entorno en un intento de borrar el rastro forense de sus actividades.
«Entre principios de febrero y mediados de marzo de 2023, se observó
anydesk.exe en tres hosts»,
señaló CISA.
«Los actores de APT comprometieron un host y se movieron lateralmente para
instalar el ejecutable en los dos restantes». Actualmente no se sabe cómo se instaló AnyDesk en cada máquina. Otra técnica
utilizada en los ataques implicó el uso del cliente legítimo ConnectWise
ScreenConnect para descargar y ejecutar la herramienta de volcado de
credenciales Mimikatz.
Es más, los actores intentaron explotar una vulnerabilidad conocida de
Apache Log4j
(CVE-2021-44228 o
Log4Shell) en el sistema ServiceDesk para el acceso inicial, pero finalmente no
tuvieron éxito.
A la luz de la explotación continua de las fallas de seguridad, se recomienda
que las organizaciones apliquen las últimas actualizaciones, controlen el uso
no autorizado de software de acceso remoto y eliminen cuentas y grupos
innecesarios para evitar su abuso.
Fuente:
THN
Los comentarios están cerrados.