CISA Advierte sobre Ataques de Actores Estatales
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) ha emitido una advertencia sobre la explotación de fallas de seguridad en Fortinet FortiOS SSL-VPN, Zoho ManageEngine ServiceDesk Plus y la vulnerabilidad conocida como Log4j. Esta actividad maliciosa es llevada a cabo por múltiples actores estatales, quienes buscan obtener acceso no autorizado y establecer persistencia en sistemas comprometidos.
Según una alerta conjunta publicada por CISA en colaboración con la Oficina Federal de Investigaciones (FBI) y la Cyber National Mission Force (CNMF), los actores de amenazas persistentes avanzadas (APT) de estados-nación han aprovechado CVE-2022-47966 para infiltrarse en una aplicación pública, en este caso, Zoho ManageEngine ServiceDesk Plus. Una vez dentro, estos actores establecen persistencia y se mueven lateralmente a través de la red.
Aunque las identidades de los grupos de amenaza detrás de estos ataques no se han revelado, el Comando Cibernético de Estados Unidos (USCYBERCOM) ha insinuado la posible implicación de equipos de estados-nación iraníes en estos eventos.
La evidencia recopilada durante la respuesta a incidentes realizada por CISA en una organización no identificada del sector aeronáutico, que tuvo lugar entre febrero y abril de 2023, indica que la actividad maliciosa comenzó el 18 de enero de 2023.
La vulnerabilidad CVE-2022-47966 es una falla crítica de ejecución remota de código que permite a atacantes no autenticados tomar el control completo de instancias susceptibles. Después de la explotación exitosa, los actores de amenazas obtienen acceso de nivel de root al servidor web y descargan malware adicional. También recopilan credenciales de usuario administrativo y se mueven lateralmente por la red. No está claro si como resultado se ha sustraído información de propiedad intelectual.
Además, se ha informado que la entidad afectada también fue objeto de un segundo vector de acceso inicial. Este involucró la explotación de CVE-2022-42475, un error grave en Fortinet FortiOS SSL-VPN, que permitió a los atacantes acceder al firewall.
CISA señaló que los actores de APT comprometieron y utilizaron credenciales de cuentas administrativas legítimas, algunas de las cuales pertenecían a un contratista previamente empleado. La organización confirmó que estas cuentas habían sido deshabilitadas antes del inicio de la actividad maliciosa.
Además de la explotación de vulnerabilidades, los atacantes han sido observados iniciando múltiples sesiones cifradas con Transport Layer Security (TLS) hacia múltiples direcciones IP. Esto sugiere la transferencia de datos desde el dispositivo firewall. También aprovecharon credenciales válidas para saltar del firewall a un servidor web y establecer shells web para acceso posterior.
En ambos casos, los adversarios deshabilitaron las credenciales de cuentas administrativas y eliminaron registros de varios servidores críticos en un intento de borrar cualquier rastro forense de sus actividades.
En un periodo entre principios de febrero y mediados de marzo de 2023, se detectó la presencia de «anydesk.exe» en tres hosts comprometidos. Esto indicaría que los actores de APT comprometieron inicialmente un host y luego se movieron lateralmente para instalar el ejecutable en los dos restantes. Sin embargo, la forma exacta en que se instaló «AnyDesk» en cada máquina sigue siendo desconocida. Además, en uno de los ataques, se utilizó el cliente legítimo «ConnectWise ScreenConnect» para descargar y ejecutar la herramienta de volcado de credenciales «Mimikatz».
Finalmente, los actores intentaron explotar la vulnerabilidad conocida de Apache Log4j (CVE-2021-44228 o Log4Shell) en el sistema ServiceDesk para obtener acceso inicial, pero no tuvieron éxito.
Dada la continua explotación de estas vulnerabilidades de seguridad, se recomienda encarecidamente que las organizaciones apliquen las últimas actualizaciones, controlen el uso no autorizado de software de acceso remoto y eliminen cuentas y grupos innecesarios para evitar posibles abusos.
