Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) hôm thứ Năm đã cảnh báo rằng nhiều tác nhân quốc gia đang khai thác các lỗ hổng bảo mật trong Fortinet FortiOS SSL-VPN và Zoho ManagedEngine ServiceDesk Plus để có được quyền truy cập trái phép và thiết lập sự tồn tại lâu dài trên các hệ thống bị xâm nhập.
Theo một cảnh báo chung, “Những kẻ tấn công có mối đe dọa liên tục nâng cao (APT) cấp quốc gia đã khai thác CVE-2022-47966 để có quyền truy cập trái phép vào một ứng dụng công khai (Zoho ManagedEngine ServiceDesk Plus), thiết lập tính bền vững và di chuyển ngang qua mạng” . được xuất bản bởi cơ quan này, cùng với Cục Điều tra Liên bang (FBI) và Lực lượng Đặc nhiệm Mạng Quốc gia (CNMF).
Danh tính của các nhóm đe dọa đằng sau các cuộc tấn công vẫn chưa được tiết lộ, mặc dù Bộ Tư lệnh Mạng Hoa Kỳ (USCYBERCOM) ám chỉ sự tham gia của các phi hành đoàn quốc gia Iran.
Các phát hiện này dựa trên hoạt động ứng phó sự cố do CISA thực hiện tại một tổ chức ngành hàng không giấu tên từ tháng 2 đến tháng 4 năm 2023. Có bằng chứng cho thấy hoạt động độc hại bắt đầu sớm nhất là vào ngày 18 tháng 1 năm 2023.
CVE-2022-47966 đề cập đến một lỗ hổng thực thi mã từ xa nghiêm trọng cho phép kẻ tấn công không được xác thực chiếm hoàn toàn các phiên bản nhạy cảm.
Sau khi khai thác thành công CVE-2022-47966, kẻ tấn công đã có được quyền truy cập cấp cơ sở vào máy chủ web và thực hiện các bước để tải xuống phần mềm độc hại bổ sung, liệt kê mạng, thu thập thông tin xác thực của người dùng quản trị và di chuyển qua mạng.
Hiện chưa rõ liệu có thông tin độc quyền nào bị đánh cắp hay không.
Thực thể được đề cập cũng được cho là đã bị xâm phạm bằng cách sử dụng vectơ truy cập ban đầu thứ hai dẫn đến việc khai thác CVE-2022-42475 , một lỗi nghiêm trọng trong Fortinet FortiOS SSL-VPN, để truy cập tường lửa.
CISA cho biết: “Người ta xác định rằng các tác nhân APT đã xâm phạm và sử dụng thông tin đăng nhập tài khoản quản trị hợp pháp, bị vô hiệu hóa từ một nhà thầu được thuê trước đó. Tổ chức này xác nhận rằng người dùng đã bị vô hiệu hóa trước hoạt động được quan sát”.
Người ta cũng quan sát thấy những kẻ tấn công đang khởi tạo nhiều phiên được mã hóa Bảo mật lớp vận chuyển ( TLS ) tới một số địa chỉ IP, cho biết việc truyền dữ liệu từ thiết bị tường lửa, ngoài việc tận dụng thông tin xác thực hợp lệ để chuyển từ tường lửa đến máy chủ web và triển khai web shell cho truy cập cửa sau.
Trong cả hai trường hợp, kẻ thù được cho là đã vô hiệu hóa thông tin xác thực tài khoản quản trị và xóa nhật ký khỏi một số máy chủ quan trọng trong môi trường nhằm cố gắng xóa dấu vết pháp lý về các hoạt động của chúng.
CISA lưu ý: “Từ đầu tháng 2 đến giữa tháng 3 năm 2023, Anydesk.exe đã được quan sát thấy trên ba máy chủ”. “Các tác nhân APT đã xâm phạm một máy chủ và di chuyển sang bên để cài đặt tệp thực thi trên hai máy chủ còn lại.”
Hiện tại vẫn chưa biết AnyDesk được cài đặt trên mỗi máy như thế nào. Một kỹ thuật khác được sử dụng trong các cuộc tấn công liên quan đến việc sử dụng ứng dụng khách ConnectWise ScreenConnect hợp pháp để tải xuống và chạy công cụ bán phá giá thông tin xác thực Mimikatz.
Hơn nữa, các hacker đã cố gắng khai thác lỗ hổng Apache Log4j đã biết ( CVE-2021-44228 hoặc Log4Shell) trong hệ thống ServiceDesk để truy cập ban đầu nhưng cuối cùng không thành công.
Do các lỗ hổng bảo mật vẫn tiếp tục bị khai thác, các tổ chức nên áp dụng các bản cập nhật mới nhất, giám sát việc sử dụng trái phép phần mềm truy cập từ xa và xóa các tài khoản và nhóm không cần thiết để ngăn chặn việc lạm dụng.