Des groupes de piratage soutenus par l’État ont piraté une organisation aéronautique américaine en utilisant des exploits ciblant les vulnérabilités critiques de Zoho et Fortinet, a révélé jeudi un avis conjoint publié par la CISA, le FBI et le Cyber Command des États-Unis (USCYBERCOM).
Les groupes menaçants à l’origine de cette violation n’ont pas encore été nommés, mais même si l’avis conjoint n’a pas établi de lien entre les attaquants et un État spécifique, le communiqué de presse de l’USCYBERCOM relie les acteurs malveillants aux efforts d’exploitation iraniens.
CISA faisait partie de la réponse aux incidents entre février et avril et a déclaré que les groupes de piratage étaient présents dans le réseau de l’organisation aéronautique compromise depuis au moins janvier après avoir piraté un serveur exposé à Internet exécutant Zoho ManageEngine ServiceDesk Plus et un pare-feu Fortinet.
« CISA, FBI et CNMF ont confirmé que les acteurs des menaces persistantes avancées (APT) au niveau national ont exploité CVE-2022-47966 pour obtenir un accès non autorisé à une application publique (Zoho ManageEngine ServiceDesk Plus), établir la persistance et se déplacer latéralement à travers le réseau », lit-on dans l’avis.
« Cette vulnérabilité permet l’exécution de code à distance sur l’application ManageEngine. D’autres acteurs APT ont également été observés exploitant CVE-2022-42475 pour établir leur présence sur le pare-feu de l’organisation. »
Comme le préviennent les trois agences américaines, ces groupes de menaces recherchent fréquemment des vulnérabilités sur les appareils connectés à Internet non corrigés contre des bogues de sécurité critiques et faciles à exploiter.
Après avoir infiltré le réseau d’une cible, les attaquants maintiendront leur persistance sur les composants de l’infrastructure réseau piratés. Ces appareils réseau seront probablement utilisés comme tremplins pour les mouvements latéraux au sein des réseaux des victimes, comme infrastructure malveillante, ou une combinaison des deux.
Il est conseillé aux défenseurs des réseaux d’appliquer les mesures d’atténuation partagées dans l’avis d’aujourd’hui et les meilleures pratiques recommandées par la NSA pour sécuriser l’infrastructure.
Ils incluent, sans s’y limiter, la sécurisation de tous les systèmes contre toutes les vulnérabilités exploitées connues, la surveillance de l’utilisation non autorisée des logiciels d’accès à distance et la suppression des comptes et groupes inutiles (désactivés) (en particulier les comptes privilégiés).
Attaques et avertissements antérieurs pour sécuriser les systèmes
La CISA a ordonné aux agences fédérales de sécuriser leurs systèmes contre les exploits CVE-2022-47966 en janvier, quelques jours après que les acteurs malveillants ont commencé à cibler les instances ManageEngine non corrigées exposées en ligne pour ouvrir des shells inversés après la publication en ligne du code d’exploitation de preuve de concept (PoC).
Quelques mois après l’avertissement de CISA, le groupe de piratage nord-coréen Lazarus a également commencé à exploiter la faille Zoho, réussissant à pirater des organisations de soins de santé et un fournisseur d’infrastructure de base Internet.
Le FBI et la CISA ont émis plusieurs autres alertes (1, 2) concernant des groupes soutenus par l’État exploitant les failles de ManageEngine pour cibler des infrastructures critiques, notamment les services financiers et les soins de santé.
La vulnérabilité FortiOS SSL-VPN CVE-2022-42475 a également été exploitée comme un jour zéro dans des attaques contre des organisations gouvernementales et des cibles associées, comme Fortinet l’a révélé en janvier.
Fortinet a également averti que des charges utiles malveillantes supplémentaires ont été téléchargées sur les appareils compromis lors des attaques, charges utiles qui n’ont pas pu être récupérées pour analyse.
Les clients ont été invités pour la première fois à patcher leurs appareils contre les attaques en cours à la mi-décembre, après que Fortinet a discrètement corrigé le bug le 28 novembre sans divulguer d’informations selon lesquelles il était déjà exploité dans la nature.