Devlet destekli tehdit aktörleri, Zoho ManageEngine yazılımı ve Fortinet güvenlik duvarlarındaki bilinen güvenlik açıklarını kullanarak bir ABD havacılık kuruluşundan yararlandı.
Örgütün adı açıklanmadı ancak ABD Siber Komutanlığı tarafından yapılan açıklamada, saldırının “İran’ın sömürü çabalarını” aydınlattığı belirtildi; aynı zamanda örgütün “birden fazla ulus devletin” saldırısı altında olduğunu da belirtti.
Gelişmiş kalıcı tehdit (APT) saldırganları, CVE-2022-47966 Kuruluşun halka açık uygulaması üzerinden yetkisiz erişim elde etmek için ManageEngine’deki uzaktan kod yürütme (RCE) kusurunu tespit ettiler, ardından kalıcılık sağladılar ve ağ içinde yanal olarak hareket ettiler. Yetkililer Ocak ayında CVE-2022-47966 hakkında uyarılar yayınladı; Tek oturum açmanın etkinleştirilmesi veya etkinleştirilmiş olması halinde, etkilenen herhangi bir ManageEngine ürünü güvenlik açığına maruz kalabilir.
Kuruluşun Fortinet güvenlik duvarı cihazında varlık oluşturmak için CVE-2022-42475’ten yararlanan ek APT aktörleri de gözlemlendi. Hatanın ilk olarak Ocak ayında sıfır gün güvenlik açığı olarak kullanıldığı keşfedildi ve FortiOS SSL-VPN’de, kimliği doğrulanmamış uzak bir saldırganın özel hazırlanmış istekler yoluyla rastgele kod veya komutlar yürütmesine izin verebilecek yığın tabanlı bir arabellek taşması güvenlik açığı olarak tanımlandı. .
Siber Ulusal Görev Gücü, kuruluşlara, CISA’nın sektörler arası siber güvenlik performans hedeflerini ve NSA’nın uzaktan erişilebilen yazılımların güvenliğini sağlamaya yönelik önerilen en iyi uygulamalarını içeren önerilen azaltma stratejilerini gözden geçirmeleri ve uygulamaları çağrısında bulundu.
Havacılık olayı, İran APT’lerinin ABD federal hükümetinin çıkarlarını hedef aldığı ilk örnek değil. Geçen yıl, İran hükümeti tarafından desteklenen bir grup, ABD Federal Sivil Yürütme Organı sistemlerini ihlal etmek ve kötü amaçlı yazılım bırakmak için Log4Shell güvenlik açığını kullandı.