Американские агентства по кибербезопасности и разведке сообщили о проникновении поддерживаемых иранским государством хакерских групп в неназванную американскую организацию в авиационной сфере. Злоумышленники использовали уязвимости в популярных продуктах Zoho и Fortinet для получения доступа к сети и перемещения по ней.
В совместном заявлении , опубликованном 7-го сентября, агентство по кибербезопасности и инфраструктуре США (CISA), Федеральное бюро расследований (ФБР) и Командование по киберпространству США (USCYBERCOM) не назвали конкретных групп, стоящих за этим нарушением, но связали их с иранским правительством.
CISA принимало участие в реагировании на данный инцидент с февраля по апрель и сообщило, что хакеры находились в скомпрометированной сети авиационной организации по крайней мере с января. Они взломали сервер, доступный из Интернета, на котором работали Zoho ManageEngine ServiceDesk Plus и межсетевой экран Fortinet.
“Злоумышленники эксплуатировали уязвимость CVE-2022-47966 для получения несанкционированного доступа к публично доступному приложению (Zoho ManageEngine ServiceDesk Plus), установления постоянства и перемещения по сети. Эта уязвимость позволяет удалённо выполнять код в приложении ManageEngine”, – говорится в заявлении.
“Другие хакеры также были замечены в эксплуатации уязвимости CVE-2022-42475 в FortiOS SSL-VPN для установления присутствия на устройстве межсетевого экрана организации”.
Как сообщают ведомства, причастные злоумышленники часто сканируют устройства, доступные из Интернета, на предмет неисправленных конфигураций программного обеспечения и легко эксплуатируемых ошибок безопасности.
После проникновения в сеть цели хакеры поддерживают постоянство на взломанных компонентах сетевой инфраструктуры, которые могут использоваться как промежуточные звенья или как злонамеренная инфраструктура.
Специалисты по защите сетей рекомендуют применять меры по смягчению последствий, которые были описаны в совместном заявлении, а также лучшие практики NSA по обеспечению безопасности инфраструктуры.
Данные практики включают обеспечение безопасности всех систем от всех известных эксплуатируемых уязвимостей, мониторинг за несанкционированным использованием программного обеспечения для удалённого доступа и удаление ненужных учётных записей и групп.