Atacatorii exploatează vulnerabilitățile Fortinet și Zoho

Specialiștii în securitate cibernetică din cadrul CISA au anunțat că mai multe persoane rău intenționate exploatează vulnerabilitățile din Fortinet FortiOS SSL-VPN și Zoho ManageEngine ServiceDesk Plus pentru a obține acces neautorizat și a stabili persistența pe sistemele compromise.

CVE-2022-47966 este o vulnerabilitate critică de tip remote code execution care permite unui atacator neautentificat să preia complet controlul asupra sistemelor sensibile.

În urma exploatării cu succes a CVE-2022-47966, atacatorii au obținut acces cu permisiuni de root la serverul web și au descărcat programe malware, au colecta credențialele utilizatorilor cu drepturi administrative și au realizat lateral movement în rețea.

De asemenea, a fost folosit un al doilea vector de atac care a viziat exploatarea CVE-2022-42475, o vulnerabilitate din cadrul Fortinet FortiOS SSL-VPN, pentru a accesa firewall-ul.

Atacatorii au inițiat mai multe sesiuni criptate (TLS) către mai multe adrese IP, indicând transferul de date de la firewall. Totodată, au folosit credențiale valide pentru a trece de la firewall la un server web și pentru a implementa shell-uri web pentru accesul backdoor.

Aceștia au dezactivat credențialele conturilor administrative și au șters log-urile de pe mai multe servere critice pentru a-și șterge urma.

O altă tehnică utilizată în cadrul atacurilor a presupus utilizarea clientului legitim ConnectWise ScreenConnect pentru a descărca și rula tool-ul Mimikatz.

Mai mult, atacatorii au încercat să exploateze o vulnerabilitate cunoscută ca Apache Log4j (CVE-2021-44228 sau Log4Shell) în sistemul ServiceDesk pentru accesul inițial, dar în cele din urmă nu au reușit.

Se recomandă aplicarea urgentă a celor mai recente actualizări, monitorizarea utilizării neautorizate a software-ului de acces de la distanță și eliminarea conturilor și grupurilor neutilizate.

Sursă: https://thehackernews.com/2023/09/cisa-warning-nation-state-hackers.html