Grupos de piratería respaldados por el estado han logrado infiltrarse en una organización aeroespacial de Estados Unidos utilizando exploits dirigidos a vulnerabilidades críticas de Zoho ManageEngine y Fortinet, según un aviso conjunto publicado por CISA, el FBI y el Comando Cibernético de Estados Unidos (USCYBERCOM) el jueves.
Los grupos de amenazas detrás de esta brecha aún no han sido nombrados, pero mientras el aviso conjunto no conectó a los atacantes con un estado específico, el comunicado de prensa de USCYBERCOM vincula a los actores maliciosos con esfuerzos de explotación iraníes. CISA formó parte de la respuesta al incidente entre febrero y abril y dijo que los grupos de piratería habían estado en la red de la organización de aviación comprometida desde al menos enero, después de hackear un servidor expuesto a Internet que ejecutaba Zoho ManageEngine ServiceDesk Plus y un firewall Fortinet.
"CISA, el FBI y CNMF confirmaron que actores de amenazas persistentes avanzadas (APT) respaldados por un estado-nación explotaron CVE-2022-47966 para obtener acceso no autorizado a una aplicación de cara al público (Zoho ManageEngine ServiceDesk Plus), establecer persistencia y moverse lateralmente a través de la red", dice el aviso.
"Esta vulnerabilidad permite la ejecución remota de código en la aplicación ManageEngine. También se observó que otros actores de APT estaban explotando CVE-2022-42475 para establecer presencia en el dispositivo de firewall de la organización".
Como advierten las tres agencias estadounidenses, estos grupos de amenazas escanean con frecuencia vulnerabilidades en dispositivos expuestos a Internet que no han sido parcheados contra vulnerabilidades críticas y fáciles de explotar.
Después de infiltrarse en la red de un objetivo, los atacantes mantendrán la persistencia en los componentes de la infraestructura de red pirateada. Es probable que estos dispositivos de red se utilicen como puntos de apoyo para el movimiento lateral dentro de las redes de las víctimas, como infraestructura maliciosa o una combinación de ambos.
Se recomienda a los defensores de la red que apliquen las mitigaciones compartidas en el aviso de hoy y las mejores prácticas recomendadas por la NSA para asegurar la infraestructura.
Estas incluyen, pero no se limitan a, asegurar todos los sistemas contra todas las vulnerabilidades conocidas y explotadas, monitorear el uso no autorizado de software de acceso remoto y eliminar cuentas y grupos innecesarios (deshabilitados), especialmente cuentas privilegiadas.
CISA ordenó a las agencias federales que aseguraran sus sistemas contra las explotaciones de CVE-2022-47966 en enero, días después de que los actores de amenazas comenzaran a dirigirse a instancias no parcheadas de ManageEngine expuestas en línea para abrir shells inversos después de que se publicara en línea el código de explotación de prueba de concepto (PoC). Meses después de la advertencia de CISA, el grupo de piratería norcoreano Lazarus también comenzó a explotar la vulnerabilidad de Zoho ManageEngine, comprometiendo con éxito organizaciones de atención médica y un proveedor de infraestructura de Internet.
El FBI y CISA emitieron múltiples alertas (1, 2) sobre grupos respaldados por el estado que explotaban las vulnerabilidades de ManageEngine para atacar infraestructuras críticas, incluidos servicios financieros y atención médica.
La vulnerabilidad CVE-2022-42475 de FortiOS SSL-VPN también fue explotada como un día cero en ataques contra organizaciones gubernamentales y objetivos relacionados, como Fortinet reveló en enero.
Fortinet también advirtió que se descargaron cargas maliciosas adicionales en los dispositivos comprometidos durante los ataques, cargas que no se pudieron recuperar para su análisis.
A los clientes se les instó por primera vez a parchear sus dispositivos contra los ataques en curso a mediados de diciembre, después de que Fortinet solucionara silenciosamente el error el 28 de noviembre sin liberar información de que ya se estaba explotando en la naturaleza.
Actualización del 11 de septiembre, 08:31 EDT: Un portavoz de Zoho envió la siguiente declaración después de que se publicara el artículo:
ManageEngine desea aclarar que CVE-2022-47966 se refiere a una vulnerabilidad en los productos locales (instalables localmente) con la marca ManageEngine, que se parcheó con éxito a finales de 2022. Para obtener más detalles, consulte nuestra advertencia de seguridad en: https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html.
Dado que los productos afectados se instalan localmente, enfatizamos la importancia de actualizar constantemente sus instalaciones cada vez que publiquemos parches de seguridad. Tenga la seguridad de que si ha actualizado sus productos ManageEngine con nuestro parche de 2022, no se verán afectados por CVE-2022-47966.
Aviso legal: Este documento ha sido compartido desde la página de Bleeping Computer con el único propósito de fomentar el discurso sobre el tema de la ciberseguridad y las buenas prácticas de ciberseguridad. Nuestra intención no es difamar a ninguna empresa, persona o entidad legal. Toda la información mencionada en este documento se basa en informes y datos disponibles gratuitamente en línea. Never Off Technology no se atribuye ningún crédito ni responsabilidad por la precisión de cualquier fuente o información compartida en este documento.