Atores de ameaças persistentes avançadas (APT) exploraram vulnerabilidades conhecidas nos produtos Zoho ManageEngine e Fortinet VPN para hackear uma organização no setor aeronáutico, de acordo com um relatório conjunto do FBI, da Agência de Segurança Cibernética e de Infraestrutura (CISA) e do Comando Cibernético. Força Missionária Nacional Cibernética (CNMF).
Afetando mais de 20 produtos Zoho ManageEngine locais, o primeiro bug, rastreado como CVE-2022-47966 (pontuação CVSS de 9,8), permite que invasores remotos executem código arbitrário nos sistemas afetados.
O problema de gravidade crítica foi corrigido em novembro de 2022, mas os primeiros sinais de exploração foram observados em janeiro de 2023, pouco antes de uma exploração de prova de conceito (PoC) direcionada à falha ser publicada. Na época, as empresas de segurança identificaram milhares de instâncias expostas do ManagedEngine.
A segunda vulnerabilidade, CVE-2022-42475 (pontuação CVSS de 9,8), afeta várias versões do FortiOS SSL-VPN e do FortiProxy SSL-VPN e foi resolvida com patches de emergência em dezembro de 2022.
Em Janeiro de 2023, contudo, a Mandiant alertou que a vulnerabilidade tinha sido explorada por hackers chineses como um dia zero, antes dos patches serem lançados, em ataques dirigidos a uma organização governamental europeia e a um fornecedor de serviços geridos em África.
Depois de investigar entre fevereiro e abril de 2023, CISA, FBI e CNMF descobriram que vários APTs exploraram as duas falhas a partir de janeiro deste ano, para estabelecer persistência na rede de uma organização aeronáutica.
“A CISA e os co-seladores avaliam que, a partir de janeiro de 2023, vários atores APT do estado-nação estavam presentes na rede da organização por meio de pelo menos dois vetores de acesso iniciais”, observam as três agências em um aviso (PDF).
Ao explorar o CVE-2022-47966, os invasores obtiveram acesso de nível raiz ao servidor web que hospeda o Zoho ManageEngine ServiceDesk Plus, criaram uma conta de usuário local com privilégios administrativos, realizaram reconhecimento, implantaram malware, coletaram credenciais e moveram-se lateralmente para a rede.
“A CISA e os co-seladores não conseguiram determinar se as informações proprietárias foram acessadas, alteradas ou exfiltradas. Isso ocorreu porque a organização não definiu claramente onde seus dados estavam localizados centralmente e a CISA teve uma cobertura limitada de sensores de rede”, diz o comunicado.
Outro APT, revela o comunicado, explorou CVE-2022-42475 para comprometer o dispositivo de firewall da organização e estabelecer múltiplas conexões VPN durante a primeira quinzena de fevereiro. Os invasores desabilitaram credenciais de administrador e excluíram logs, impedindo a detecção de atividades de acompanhamento.
“Foi identificado que os atores do APT comprometeram e usaram credenciais de contas administrativas legítimas e desativadas de um contratante contratado anteriormente – do qual a organização confirmou que o usuário havia sido desativado antes da atividade observada”, explica o comunicado.
Os invasores estabeleceram várias sessões criptografadas por TLS para transferir dados do firewall comprometido e migraram lateralmente para um servidor web, onde implantaram web shells.
A investigação revelou que os agentes da ameaça usaram várias ferramentas prontamente disponíveis durante seus ataques, incluindo Mimikatz (despejo de credenciais), Ngrok (cria túnel de conexão privada), ProcDump (dumper de processo), Metasploit, anydesk.exe (acesso remoto) e outros.
Em seu comunicado, CISA, FBI e CNMF fornecem informações sobre essas ferramentas, um cronograma detalhado da atividade observada, indicadores de comprometimento (IoCs) associados aos ataques e uma lista de mitigações recomendadas para evitar ataques semelhantes.