ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Perşembe günü, çok sayıda ulus devlet aktörünün Fortinet FortiOS SSL-VPN ve Zoho ManageEngine ServiceDesk Plus’taki güvenlik açıklarından faydalanarak yetkisiz erişim elde ettiği ve ele geçirilen sistemlerde kalıcılık sağladığı konusunda uyarıda bulundu.
Federal Soruşturma Bürosu (FBI) ve Siber Ulusal Görev Gücü (CNMF) ile birlikte ajans tarafından yayınlanan ortak bir uyarıya göre, “Ulus devlet gelişmiş kalıcı tehdit (APT) aktörleri, halka açık bir uygulamaya (Zoho ManageEngine ServiceDesk Plus) yetkisiz erişim sağlamak, kalıcılık sağlamak ve ağda yanal olarak hareket etmek için CVE-2022-47966’dan yararlandı.”
ABD Siber Komutanlığı (USCYBERCOM) İranlı ulus-devlet ekiplerinin işin içinde olduğunu ima etse de saldırıların arkasındaki tehdit gruplarının kimlikleri açıklanmadı.
Bulgular, CISA tarafından Şubat-Nisan 2023 tarihleri arasında adı açıklanmayan bir havacılık sektörü kuruluşunda yürütülen bir olay müdahale çalışmasına dayanmaktadır. Kötü niyetli faaliyetin 18 Ocak 2023 gibi erken bir tarihte başladığını gösteren kanıtlar bulunmaktadır.
CVE-2022-47966, kimliği doğrulanmamış bir saldırganın duyarlı örnekleri tamamen ele geçirmesine olanak tanıyan kritik bir uzaktan kod yürütme kusurunu ifade eder.
CVE-2022-47966’nın başarılı bir şekilde istismar edilmesinin ardından, tehdit aktörleri web sunucusuna kök düzeyinde erişim elde etmiş ve ek kötü amaçlı yazılım indirmek, ağı numaralandırmak, yönetici kullanıcı kimlik bilgilerini toplamak ve ağda yanlamasına hareket etmek için adımlar atmıştır.
Sonuç olarak herhangi bir özel bilginin çalınıp çalınmadığı hemen belli değil.
Söz konusu kuruluşun ayrıca, güvenlik duvarına erişmek için Fortinet FortiOS SSL-VPN’deki ciddi bir hata olan CVE-2022-42475’in istismar edilmesini gerektiren ikinci bir ilk erişim vektörü kullanılarak ihlal edildiği söyleniyor.
CISA, “APT aktörlerinin, daha önce işe alınmış bir yüklenicinin devre dışı bırakılmış, meşru yönetici hesabı kimlik bilgilerini ele geçirdiği ve kullandığı tespit edildi – ki kuruluş, kullanıcının gözlemlenen faaliyetten önce devre dışı bırakıldığını doğruladı” dedi.
Saldırganların ayrıca, güvenlik duvarından bir web sunucusuna atlamak ve arka kapı erişimi için web kabukları dağıtmak için geçerli kimlik bilgilerinden yararlanmanın yanı sıra, güvenlik duvarı cihazından veri aktarımını gösteren çeşitli IP adreslerine birden fazla Aktarım Katmanı Güvenliği (TLS) şifreli oturum başlattıkları da gözlemlenmiştir.
Her iki durumda da, saldırganların faaliyetlerinin adli izlerini silmek amacıyla yönetici hesap kimlik bilgilerini devre dışı bıraktıkları ve ortamdaki birkaç kritik sunucudan günlükleri sildikleri söyleniyor.
CISA, “Şubat başı ile Mart 2023 ortası arasında anydesk.exe üç ana bilgisayarda gözlemlendi,” dedi. “APT aktörleri bir ana bilgisayarı ele geçirdi ve yürütülebilir dosyayı kalan ikisine yüklemek için yanlara doğru hareket etti.”
AnyDesk’in her bir makineye nasıl yüklendiği şu anda bilinmiyor. Saldırılarda kullanılan bir başka teknik de kimlik bilgisi boşaltma aracı Mimikatz’ı indirmek ve çalıştırmak için meşru ConnectWise ScreenConnect istemcisinin kullanılmasını gerektiriyordu.
Dahası, aktörler ilk erişim için ServiceDesk sistemindeki bilinen bir Apache Log4j güvenlik açığından (CVE-2021-44228 veya Log4Shell) yararlanmaya çalıştı ancak sonuçta başarısız oldular.
Güvenlik açıklarının istismar edilmeye devam etmesi nedeniyle, kuruluşların en son güncellemeleri uygulamaları, uzaktan erişim yazılımının yetkisiz kullanımını izlemeleri ve kötüye kullanımlarını önlemek için gereksiz hesapları ve grupları temizlemeleri önerilir.
