Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat am Donnerstag gewarnt, dass mehrere Nationenstaaten Sicherheitslücken in Fortinet FortiOS SSL-VPN und Zoho ManageEngine ServiceDesk Plus ausnutzen, um unbefugten Zugriff zu erlangen und auf kompromittierten Systemen dauerhaft präsent zu sein.

Die Angriffe:

„Nation-State Advanced Persistent Threat (APT)-Akteure haben CVE-2022-47966 ausgenutzt, um unbefugten Zugriff auf eine öffentlich zugängliche Anwendung (Zoho ManageEngine ServiceDesk Plus) zu erlangen, sich dauerhaft zu etablieren und im Netzwerk seitwärts zu bewegen“, so eine gemeinsame Warnung der Agentur zusammen mit dem Federal Bureau of Investigation (FBI) und der Cyber National Mission Force (CNMF).

Die Identität der Bedrohungsgruppen hinter den Angriffen wurde nicht offengelegt, obwohl das U.S. Cyber Command (USCYBERCOM) auf die Beteiligung iranischer Nationenstaatscrews hinwies.

Die Erkenntnisse basieren auf einem Vorfallreaktionseinsatz von CISA bei einer nicht näher genannten Organisation aus dem Luftfahrtsektor von Februar bis April 2023. Es gibt Hinweise darauf, dass die bösartige Aktivität bereits am 18. Januar 2023 begann.

CVE-2022-47966 bezieht sich auf eine kritische Schwachstelle zur Ausführung von Remote-Code, die es einem nicht authentifizierten Angreifer ermöglicht, gefährdete Instanzen vollständig zu übernehmen.

Nach der erfolgreichen Ausnutzung von CVE-2022-47966 erlangten die Angreifer Root-Zugriff auf den Webserver und unternahmen Schritte, um zusätzliche Malware herunterzuladen, das Netzwerk aufzulisten, administrative Benutzeranmeldeinformationen zu sammeln und sich seitwärts im Netzwerk zu bewegen.

Es ist nicht sofort klar, ob als Ergebnis Informationen gestohlen wurden.

Es wurde auch berichtet, dass die Entität mithilfe eines zweiten initialen Zugriffsvektors, der die Ausnutzung von CVE-2022-42475, einem schwerwiegenden Fehler in Fortinet FortiOS SSL-VPN, beinhaltete, auf die Firewall zugriff.

„Es wurde festgestellt, dass APT-Akteure deaktivierte, legitime Administratorkonten verwendet und missbraucht haben – von denen die Organisation bestätigte, dass der Benutzer vor der beobachteten Aktivität deaktiviert worden war“, sagte CISA.

Die Angreifer wurden auch beobachtet, wie sie mehrere Transport Layer Security (TLS)-verschlüsselte Sitzungen zu verschiedenen IP-Adressen initiierten, was auf einen Datentransfer vom Firewall-Gerät hinwies. Darüber hinaus nutzten sie gültige Anmeldeinformationen, um von der Firewall zu einem Webserver zu wechseln und Webshells für den hinteren Zugriff bereitzustellen.

In beiden Fällen deaktivierten die Angreifer angeblich administrative Benutzerkonten und löschten Protokolle von mehreren wichtigen Servern in der Umgebung, um die forensische Spur ihrer Aktivitäten zu verwischen.

Die Empfehlungen: Aufgrund der fortgesetzten Ausnutzung der Sicherheitslücken wird empfohlen, die neuesten Updates anzuwenden, auf unbefugte Nutzung von Fernzugriffssoftware zu überwachen und unnötige Konten und Gruppen zu löschen, um deren Missbrauch zu verhindern.