Zoho ve Fortinet ürünlerindeki bilinen bir çift güvenlik açığından yararlanılması, saldırıların arkasında yer alıyor. havacılık sektörü organizasyonu Bu yılın başlarında federal yetkililer Perşembe günü ortak bir danışma toplantısında bunu söyledi.
İlgisiz ilk erişim vektörlerinin ikili CVE istismarı, birden fazla ulus devlet APT aktörünün, Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın, FBI’ın ve Siber Ulusal Görev Gücü’nün örtüşen taktikleri, teknikleri ve prosedürlerini içeren bir dizi “tehdit aktörü faaliyeti” içeriyordu. danışma.
Siber güvenlik yetkilileri, bu saldırılarla bağlantılı kurbanı, tehdit aktörlerini veya ulus devletlerini tespit etmedi. Ayrıca tek bir kuruluşa yönelik bu saldırıya katılan APT aktörlerinin sayısını da açıklamadılar.
Havacılık endüstrisindeki kritik bir altyapı sektörü kuruluşuna yönelik çok taraflı, çok amaçlı saldırı, APT aktörlerinin ABD ulusal güvenliği, ekonomik güvenliği ve kamu güvenliği için hayati öneme sahip olduğu belirlenen bir kuruluşa yönelik saldırıları başlatmak için ne ölçüde işbirliği yapacağını vurguluyor.
Recorded Future’ın tehdit istihbaratı analisti ve çözüm mimarı Allan Liska, e-posta yoluyla şunları söyledi: “Şu anda tüm kuruluşlara, özellikle de kritik altyapı olarak etiketlenen kuruluşlara yönelik hedefli ve fırsatçı saldırıların kapsamı ve ölçeği çok büyük.”
CISA’nın olay müdahalesi sırasında keşfedilen olayların zaman çizelgesine göre, APT aktörlerinin faaliyetleri 18 Ocak’ta başladı ve yedi hafta boyunca devam etti.
Uyarıda, “APT aktörleri genellikle internete bakan cihazları kolaylıkla istismar edilebilecek güvenlik açıklarına karşı tarar” denildi.
“Güvenlik duvarı, VPN’ler ve diğer uç ağ altyapısı, kötü niyetli siber aktörlerin ilgisini çekmeye devam ediyor. Yetkililer, hedeflendiklerinde, hedeflenen ağ erişimini genişletmek, kötü amaçlı altyapı olarak hizmet etmek veya her ikisinin bir karışımı olarak hizmet vermek için kullanılabilirler” dedi.
APT aktörleri başlangıçta istismar edildi CVE-2022-47966Yetkililer, birden fazla Zoho ManageEngine şirket içi ürününde uzaktan kod yürütülmesine olanak tanıyan yeni uygulamanın Ocak ayı ortalarında kullanıma sunulacağını söyledi.
Zoho güvenlik açığından yararlanma, APT aktörlerinin kötü amaçlı yazılım indirmesine, yönetici kullanıcı kimlik bilgilerini toplamasına ve Zoho ManageEngine ServiceDesk Plus’ın halka açık bir örneğine erişim sağladıktan sonra kurbanın ağı üzerinde yatay olarak hareket etmesine olanak sağladı.
Nisan ayında sona eren aylar süren bir çalışmaya rağmen CISA, FBI ve CNMF, bu istismar yoluyla özel verilere erişilip erişilmediğini, değiştirilip değiştirilmediğini veya sızdırılıp sızdırılmadığını belirleyemedi. Yetkililer, hedeflenen kuruluşun merkezi olarak konumlandırılmış verilere sahip olmadığını ve CISA’nın ağ sensörü kapsamının sınırlı olduğunu söyledi.
Diğer APT aktörleri istismar edildi CVE-2022-42475Danışma belgesine göre, Fortinet’in FortiOS’unda 1 Şubat’tan itibaren yığın tabanlı bir taşma güvenlik açığı bulunuyor.
Fortinet’teki bir güvenlik açığının bu şekilde istismar edilmesi, yasal yönetici hesabı kimlik bilgilerini, kuruluşun güvenlik duvarı cihazından veri sızdırmayı ve kuruluşun web sunucularına birden fazla web kabuğu yüklemesini tehlikeye attı.
Liska’ya göre, aynı kurbanı hedef alan birden fazla APT’yi içeren siber saldırılar yaygındır ve aynı türdeki hedefleri hedef alan çok sayıda ulus devlet bağlantılı aktörle gerçekleşmesi kaçınılmazdır.
Liska, “Havacılık endüstrisi geniş bir APT yelpazesi için inanılmaz bir değere sahip, bu nedenle birden fazla APT’nin şirketin elinde bulunan herhangi bir istihbarata erişim sağlamak için güvenlik açıklarından yararlandığını görmek beni şaşırtmaz” dedi.