Spoločnosť CISA vydala varovanie ohľadom aktívneho zneužívania bezpečnostnej chyby v Zoho ManageEngine ServiceDesk Plus a Fortinet FortiOS SSL-VPN pre získanie neoprávneného prístupu do siete. Zraniteľnosti CVE-2022-47966 a CVE-2022-42475 umožňujú vzdialené vykonávanie kódu v spomenutých aplikáciách.
Zraniteľné systémy:
- Access Manager Plus
- Active Directory 360
- ADAudit Plus
- ADManager Plus
- ADSelfService Plus
- Analytics Plus
- Application Control Plus
- Asset Explorer
- Browser Security Plus
- Device Control Plus
- Endpoint Central
- Endpoint Central MSP
- Endpoint DLP
- Key Manager Plus
- OS Deployer
- PAM 360
- Password Manager Pro
- Patch Manager Plus
- Remote Access Plus
- Remote Monitoring and Management (RMM)
- ServiceDesk Plus
- ServiceDesk Plus MSP
- SupportCenter Plus
- Vulnerability Manager Plus
- Zoho ManageEngine ServiceDesk Plus
- Fortinet FortiOS SSL-VPN
Opis činnosti:
Spoločnosť CISA spoločne s FBI a CNMF (Cyber National Mission Force) riešili kybernetický bezpečnostný incident, pri ktorom odhalili, že zraniteľnosti CVE-2022-47966 a CVE-2022-42475 boli zneužívané pre získanie neoprávneného prístupu k verejne dostupnej aplikácii (Zoho ManageEngine ServiceDesk Plus) a do firewallu Fortinet na vytvorenie trvalého prístupu a na pohyb po sieti.
CVE-2022-47966 (CVSS skóre 9,8)
Kritická zraniteľnosť CVE-2022-47966 v Zoho ManageEngine ServiceDesk Plus umožňuje útočníkovi prevziať úplnú kontrolu nad systémom. Po úspešnom zneužití tejto zraniteľnosti útočník získal prístup k webovému serveru a podnikol kroky na stiahnutie ďalšieho malvéru.
CVE-2022-42475 (CVSS skóre 9,8)
Zraniteľnosť CVE-2022-42475 sa týka pretečenia vyrovnávacej pamäte na halde a umožňuje vzdialené vykonávanie kódu v aplikácii Fortinet FortiOS SSL-VPN. Analýza útoku ukázala, žeútočníci iniciovali viacnásobné relácie s Transport Layer Security (TLS) na niekoľko IP adries, čo naznačuje prenos dát z firewallu.
V oboch prípadoch útočníci zakázali administratívne poverenia účtu a vymazali záznamy z niekoľkých serverov, v pokuse o vymazanie forenznej stopy svojej aktivity.
Závažnosť zraniteľnosti: Vysoká
Možné škody:
- Vzdialené vykonávanie kódu
- Eskalácia privilégií
- Kompromitácia dôvernosti, dostupnosti a integrity systému
- Únik informácií
Odporúčania:
Organizácie používajúce akýkoľvek z postihnutých produktov by mali okamžite aktualizovať systém.
Odkazy:
https://thehackernews.com/2023/09/cisa-warning-nation-state-hackers.html
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-250a
https://www.fortiguard.com/psirt/FG-IR-22-398
Zdroj: csirt.gov.sk