Sommario
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha lanciato un avvertimento riguardo a vari attori statali che stanno sfruttando le vulnerabilità presenti nei sistemi Fortinet FortiOS SSL-VPN e Zoho ManageEngine ServiceDesk Plus per ottenere accessi non autorizzati e stabilire una presenza persistente nei sistemi compromessi. Ecco i dettagli dell’avviso e le misure raccomandate per prevenire ulteriori abusi.
Attenzione alle vulnerabilità sfruttate dagli attori delle minacce statali
Giovedì, la CISA ha avvertito che diversi attori statali stanno sfruttando le falle di sicurezza per ottenere accessi non autorizzati e stabilire una presenza persistente nei sistemi compromessi. Sebbene le identità dei gruppi di minacce dietro gli attacchi non siano state rivelate, il comando cybernetico degli Stati Uniti ha fatto accenno al coinvolgimento di gruppi iraniani. Queste scoperte derivano da un’indagine condotta dalla CISA in una organizzazione del settore aeronautico non nominata, con evidenze di attività malevole iniziate già dal 18 gennaio 2023.
Dettagli tecnici delle vulnerabilità e delle tecniche di attacco
Gli attori delle minacce hanno sfruttato una grave vulnerabilità, indicata come CVE-2022-47966, che permette ad un attaccante non autenticato di prendere completamente il controllo di istanze vulnerabili. Dopo aver sfruttato con successo questa vulnerabilità, gli attori hanno ottenuto accesso a livello di root al server web, scaricando malware aggiuntivo, raccogliendo credenziali di amministratori e muovendosi lateralmente attraverso la rete. Inoltre, hanno utilizzato un’altra vulnerabilità, CVE-2022-42475, presente nel Fortinet FortiOS SSL-VPN, per accedere al firewall, disabilitando le credenziali degli account amministrativi e cancellando i log da diversi server critici per cancellare le tracce delle loro attività.
Raccomandazioni per prevenire ulteriori compromissioni
Di fronte a questa continua sfruttamento delle falle di sicurezza, si raccomanda alle organizzazioni di applicare gli aggiornamenti più recenti, monitorare l’utilizzo non autorizzato del software di accesso remoto e eliminare account e gruppi non necessari per prevenire il loro abuso. È importante rimanere vigili e adottare misure preventive per proteggere le infrastrutture critiche da potenziali attacchi.