CISA、FBI和美国网络司令部(USCYBERCOM)于本周四(9月7日)发布的一份联合报告显示,国家支持的黑客组织利用针对Zoho和Fortinet关键漏洞攻击了美国一家航空组织。
此次攻击背后的威胁组织尚未公布,联合公告中也并未将攻击者与特定国家联系起来,但USCYBERCOM的新闻稿中将此次攻击活动和伊朗黑客联系了起来。
CISA方面声称,黑客组织至少从 1 月份开始就入侵了航空组织网络。他们此前入侵了一台运行 Zoho ManageEngine ServiceDesk Plus 和 Fortinet 防火墙的互联网外露服务器。
CISA、FBI和CNMF在公告中提到,有高级持续威胁(APT)行为者利用CVE-2022-47966漏洞非法访问了一个面向公众的应用程序(Zoho ManageEngine ServiceDesk Plus),并在其网络中建立了持久性。
该漏洞允许黑客在 ManageEngine 应用程序上远程执行代码。还有其他 APT 行为者利用 CVE-2022-42475 在组织的防火墙设备上建立存在。
正如这三个美国机构所警告的那样,这些威胁组织经常会搜索那些面向互联网却没有打补丁的设备。在渗入目标网络后,攻击者会在被黑的网络基础设施组件上保持持久性。这些网络设备很可能会被用作受害者网络内横向移动的基础或者恶意基础设施。
美国国家安全局建人们采取措施以确保基础设施的安全,这些措施包括但不限于保护所有系统免受所有已知漏洞的攻击、监控远程访问软件的未经授权使用,以及删除不必要(已禁用)的账户和组(尤其是特权账户)。
攻击和确保系统安全的警告
今年 1 月,CISA 下令联邦机构保护其系统免受 CVE-2022-47966 漏洞的攻击,几天后,网上发布了概念验证 (PoC) 漏洞利用代码,威胁方开始攻击未打补丁的 ManageEngine 实例,以打开反向外壳。
在 CISA 发出警告几个月后,朝鲜 Lazarus 黑客组织也开始利用 Zoho 漏洞,成功入侵了医疗机构和一家互联网骨干基础设施提供商。
联邦调查局和 CISA 就国家支持的组织利用 ManageEngine 漏洞攻击关键基础设施,包括金融服务和医疗保健发布了其他多条警报。
正如Fortinet在1月份披露的那样,CVE-2022-42475 FortiOS SSL-VPN漏洞在针对政府组织和相关目标的攻击中也被作为零日漏洞加以利用。
Fortinet 曾在去年11月28日修复了该漏洞,但并未公布该漏洞被利用的具体信息。不过Fortinet 自12 月中旬后已经开始敦促客户为其设备打上补丁,以确保设备安全。
参考来源:Iranian hackers breach US aviation org via Zoho, Fortinet bugs (bleepingcomputer.com)