La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advirtió que los actores estatales están explotando las vulnerabilidades de seguridad en Fortinet FortiOS SSL-VPN y Zoho ManageEngine ServiceDesk Plus.
La agencia estadounidense ha detectado la presencia de indicadores de compromiso (IOC) en una organización del Sector Aeronáutico ya en enero de 2023.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y la Fuerza de Misión Nacional Cibernética (CNMF) identificaron la presencia de indicadores de compromiso (IOC) en una organización del sector aeronáutico ya en enero de 2023.
Los piratas informáticos patrocinados por el estado explotaron la vulnerabilidad CVE-2022-47966 RCE en Zoho ManageEngine. La falla CVE-2022-47966 es una vulnerabilidad de ejecución remota de código no autenticado que afecta a múltiples productos Zoho con SAML SSO habilitado en la configuración de ManageEngine. El problema también afecta a los productos que tenían la función habilitada en el pasado. La empresa abordó la vulnerabilidad el 27 de octubre de 2022.
La causa principal del problema es que los productos ManageEngine utilizan una dependencia de terceros obsoleta, Apache Santuario.
«Esta vulnerabilidad permite que un adversario no autenticado ejecute código arbitrario cuando se cumplen los criterios SAML SSO anteriores».
En enero, los investigadores de Horizon3 lanzaron la semana pasada un exploit de prueba de concepto (PoC) para CVE-2022-47966 junto con un análisis técnico. Los expertos desarrollaron el exploit PoC examinando las diferencias entre ServiceDesk Plus versión 14003 y versión 14004.
«La vulnerabilidad permite a un atacante obtener la ejecución remota de código mediante la emisión de una solicitud HTTP POST que contiene una respuesta SAML maliciosa. Esta vulnerabilidad es el resultado del uso de una versión desactualizada de Apache Santuario para la validación de firmas XML».
«Una de las piezas críticas es comprender que el flujo de información utiliza el navegador del cliente para transmitir toda la información entre el Proveedor de Servicios (SP) y el Proveedor de Identidades (IDP). En este ataque, enviamos una solicitud que contiene XML SAML malicioso directamente a la URL del consumidor de aserción (ACS) del proveedor de servicios».
Los investigadores probaron su exploit PoC contra Endpoint Central; sin embargo, creen que puede funcionar en muchos de los productos ManageEngine que comparten parte de su código base con ServiceDesk Plus o EndpointCentral.
«La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y la Fuerza de Misión Nacional Cibernética (CNMF) identificaron la presencia de indicadores de compromiso (IOC) en una organización del sector aeronáutico ya en enero de 2023».
«Los analistas confirmaron que los actores de amenazas persistentes avanzadas (APT) de los estados nacionales explotaron CVE-2022-47966 para obtener acceso no autorizado a una aplicación pública (Zoho ManageEngine ServiceDesk Plus), establecer persistencia y moverse lateralmente a través de la red. Esta vulnerabilidad permite la ejecución remota de código en la aplicación ManageEngine».
La CISA de EE. UU. también informó que se observó que varios grupos de APT explotaban CVE-2022-42475 para establecer una presencia en el dispositivo firewall de la organización.
En diciembre, Fortinet instó a sus clientes a actualizar sus instalaciones para abordar una vulnerabilidad FortiOS SSL-VPN explotada activamente, rastreada como CVE-2022-42475, que podría ser explotada por un atacante remoto no autenticado para ejecutar código arbitrario en dispositivos.
La falla CVE-2022-42475 es una debilidad de desbordamiento del búfer que reside en FortiOS sslvpnd y que permitió a atacantes no autenticados bloquear dispositivos específicos de forma remota u obtener la ejecución remota de código.
«Una vulnerabilidad de desbordamiento de búfer [CWE-122] en FortiOS SSL-VPN puede permitir que un atacante remoto no autenticado ejecute código o comandos arbitrarios a través de solicitudes específicamente diseñadas».
«Fortinet es consciente de un caso en el que esta vulnerabilidad fue explotada de forma natural».
En el ataque detallado en la alerta CISA, ya en enero de 2023, los actores de APT explotaron la vulnerabilidad CVE-2022-47966 para obtener acceso inicial a la organización objetivo. Los atacantes obtuvieron acceso a un servidor web que aloja la aplicación pública Zoho ManageEngine ServiceDesk Plus.
Los actores de amenazas obtuvieron acceso de nivel raíz en el servidor web y crearon una cuenta de usuario local llamada «Azure» con privilegios administrativos.
Luego, los actores del estado-nación descargaron malware, enumeraron la red, recopilaron credenciales de usuario administrativo y realizaron movimientos laterales. No está claro si los atacantes obtuvieron acceso a información patentada o la alteraron.
«Otros actores de APT explotaron CVE-2022-42475 en el dispositivo de firewall de la organización, lo que se indicó mediante múltiples conexiones VPN exitosas desde IP maliciosas conocidas entre el 1 y el 16 de febrero de 2023. Se identificó que los actores de APT comprometieron y utilizaron funciones administrativas legítimas y deshabilitadas. credenciales de cuenta de un contratista previamente contratado, del cual la organización confirmó que el usuario había sido deshabilitado antes de la actividad observada». continúa la alerta.
«El análisis identificó que un comportamiento común de estos actores de amenazas era utilizar credenciales de cuentas administrativas deshabilitadas y eliminar registros de varios servidores críticos en el entorno. Esto impidió la capacidad de detectar la explotación posterior o la exfiltración de datos. CISA y los co-selladores tampoco pudieron seguir la actividad debido a que la organización no tenía habilitado el registro de IP de traducción de direcciones de red (NAT).
Los atacantes han iniciado múltiples sesiones cifradas con Transport Layer Security (TLS) a múltiples direcciones IP, lo que indica intercambios exitosos de transferencia de datos desde el dispositivo firewall.
Los actores del estado-nación desactivaron las credenciales de cuentas administrativas para eliminar registros de varios servidores críticos en la red objetivo.
Los atacantes utilizaron un Meterpreter como shell interactivo que les permitió controlar el sistema de forma remota.
Entre principios de febrero y mediados de marzo de 2023, los expertos del gobierno observaron la presencia de anydesk.exe en tres hosts. Los atacantes comprometieron un host y se movieron lateralmente para instalar el ejecutable en los dos restantes.
Los actores utilizaron el cliente legítimo ConnectWise ScreenConnect para descargar y utilizar la herramienta de volcado de credenciales Mimikats.
Los atacantes también fracasaron al intentar explotar la vulnerabilidad CVE-2021-44228 Apache Log4j en el sistema ServiceDesk.
«Los actores de amenazas persistentes avanzadas a menudo escanean los dispositivos conectados a Internet en busca de vulnerabilidades que puedan explotarse fácilmente y seguirán haciéndolo». concluye la alerta publicada por el Cyber Command de EE.UU.
«CNMF y nuestros socios interinstitucionales instan a las organizaciones a revisar este CSA e implementar las estrategias de mitigación recomendadas, que incluyen los objetivos de desempeño de ciberseguridad intersectorial de CISA y las mejores prácticas recomendadas por la NSA para proteger el software de acceso remoto».
Fuente y redacción: underc0de.org
