Spoločnosť CISA vydala varovanie ohľadom aktívneho zneužívania bezpečnostnej chyby v Zoho ManageEngine ServiceDesk Plus a Fortinet FortiOS SSL-VPN pre získanie neoprávneného prístupu do siete. Zraniteľnosti CVE-2022-47966 a CVE-2022-42475 umožňujú vzdialené vykonávanie kódu v spomenutých aplikáciách.

Zraniteľné systémy:

  • Access Manager Plus
  • Active Directory 360
  • ADAudit Plus
  • ADManager Plus
  • ADSelfService Plus
  • Analytics Plus
  • Application Control Plus
  • Asset Explorer
  • Browser Security Plus
  • Device Control Plus
  • Endpoint Central
  • Endpoint Central MSP
  • Endpoint DLP
  • Key Manager Plus
  • OS Deployer
  • PAM 360
  • Password Manager Pro
  • Patch Manager Plus
  • Remote Access Plus
  • Remote Monitoring and Management (RMM)
  • ServiceDesk Plus
  • ServiceDesk Plus MSP
  • SupportCenter Plus
  • Vulnerability Manager Plus
  • Zoho ManageEngine ServiceDesk Plus
  • Fortinet FortiOS SSL-VPN

Opis činnosti:

Spoločnosť CISA spoločne s FBI a CNMF (Cyber National Mission Force) riešili kybernetický bezpečnostný incident, pri ktorom odhalili, že zraniteľnosti CVE-2022-47966 a CVE-2022-42475 boli zneužívané pre získanie neoprávneného prístupu k verejne dostupnej aplikácii (Zoho ManageEngine ServiceDesk Plus) a do firewallu Fortinet na vytvorenie trvalého prístupu a na pohyb po sieti.

CVE-2022-47966 (CVSS skóre 9,8)

Kritická zraniteľnosť CVE-2022-47966 v Zoho ManageEngine ServiceDesk Plus umožňuje útočníkovi prevziať úplnú kontrolu nad systémom. Po úspešnom zneužití tejto zraniteľnosti útočník získal prístup k webovému serveru a podnikol kroky na stiahnutie ďalšieho malvéru.

CVE-2022-42475 (CVSS skóre 9,8)

Zraniteľnosť CVE-2022-42475 sa týka pretečenia vyrovnávacej pamäte na halde a umožňuje vzdialené vykonávanie kódu v aplikácii Fortinet FortiOS SSL-VPN. Analýza útoku ukázala, žeútočníci iniciovali viacnásobné relácie s Transport Layer Security (TLS) na niekoľko IP adries, čo naznačuje prenos dát z firewallu.

V oboch prípadoch útočníci zakázali administratívne poverenia účtu a vymazali záznamy z niekoľkých serverov, v pokuse o vymazanie forenznej stopy svojej aktivity.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

  • Vzdialené vykonávanie kódu
  • Eskalácia privilégií
  • Kompromitácia dôvernosti, dostupnosti a integrity systému
  • Únik informácií

Odporúčania:

Organizácie používajúce akýkoľvek z postihnutých produktov by mali okamžite aktualizovať systém.

Odkazy:

https://thehackernews.com/2023/09/cisa-warning-nation-state-hackers.html

https://industrialcyber.co/cisa/cisa-fbi-cnmf-detail-multiple-nation-state-hackers-striking-aeronautical-sector-using-zoho-manageengine-vulnerabilities/

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-250a

https://www.fortiguard.com/psirt/FG-IR-22-398

Zdroj: csirt.gov.sk