保贝狗是一款个人信息保护软件
欢迎体验、使用~

CISA警告:民族国家黑客利用Fortinet和Zoho漏洞

多个民族国家行为者正在利用Fortinet FortiOS SSL-VPN和Zoho ManageEngine ServiceDesk Plus中的安全漏洞来获得未经授权的访问并在受感染的系统上建立持久性

美国网络安全和基础设施安全局(CISA)周四警告说,多个民族国家行为者正在利用Fortinet FortiOS SSL-VPN和Zoho ManageEngine ServiceDesk Plus中的安全漏洞来获得未经授权的访问并在受感染的系统上建立持久性。

“民族国家高级持续威胁 (APT) 参与者利用 CVE-2022-47966 未经授权访问面向公众的应用程序(Zoho ManageEngine ServiceDesk Plus),建立持久性,并通过网络横向移动,”根据该机构发布的联合警报,联邦调查局 (FBI) 和网络国家任务部队 (CNMF)。

袭击背后的威胁组织的身份尚未披露,尽管美国网络司令部(USCYBERCOM)暗示伊朗民族国家工作人员参与其中。

调查结果基于 CISA 于 2023 年 18 月至 2023 月在 nn 未具名航空部门组织开展的事件响应活动。有证据表明,恶意活动早在 <> 年 <> 月 <> 日就开始了。

CVE-2022-47966 是指一个严重的远程代码执行缺陷,允许未经身份验证的攻击者完全接管易受攻击的实例。

成功利用 CVE-2022-47966 后,威胁参与者获得了对 Web 服务器的根级别访问权限,并采取措施下载其他恶意软件、枚举网络、收集管理用户凭据以及在网络中横向移动。

目前尚不清楚是否有任何专有信息因此被盗。

据说该实体还使用第二个初始访问向量遭到破坏,该向量需要利用 CVE-2022-42475(Fortinet FortiOS SSL-VPN 中的一个严重错误)来访问防火墙。

CISA说:“据确定,APT参与者破坏并使用了以前雇用的承包商的禁用的合法管理帐户凭据 – 该组织确认用户在观察到的活动之前已被禁用。

还观察到攻击者向多个 IP 地址启动多个传输层安全性 (TLS) 加密会话,表明从防火墙设备传输数据,此外还利用有效凭据从防火墙跳到 Web 服务器并部署 Web shell 以进行后门访问。

在这两种情况下,据说攻击者都禁用了管理帐户凭据,并从环境中的几个关键服务器中删除了日志,以试图消除其活动的取证痕迹。

CISA指出:“在2023年<>月初至<>月中旬之间,在三个主机上观察到了任何办公桌.exe。“APT 参与者入侵了一台主机,并横向移动以在其余两台主机上安装可执行文件。”

目前尚不清楚AnyDesk是如何安装在每台机器上的。攻击中使用的另一种技术需要使用合法的ConnectWise ScreenConnect客户端下载并运行凭据转储工具Mimikatz。

更重要的是,参与者试图利用 ServiceDesk 系统中已知的 Apache Log4j 漏洞(CVE-2021-44228 或 Log4Shell)进行初始访问,但最终没有成功。

鉴于安全漏洞的持续利用,建议组织应用最新更新,监视远程访问软件的未授权使用,并清除不必要的帐户和组以防止其滥用。

 

网络安全隐私保护
-=||=-收藏赞 (0)
保贝狗是一款个人信息保护产品。 » CISA警告:民族国家黑客利用Fortinet和Zoho漏洞

保贝狗

保贝狗是一款免费的个人信息保护产品
大家都在用的隐私保护软件
保贝狗专注于个人信息保护的研究
实用、简单、方便、快捷

QQ联系我们微信联系我们

登录

找回密码

注册