Door de staat gesponsorde dreigingsactoren hebben een Amerikaanse luchtvaartorganisatie uitgebuit, waarbij ze gebruik maakten van bekende kwetsbaarheden in de Zoho ManageEngine-software en in Fortinet-firewalls.
De organisatie is niet genoemd, maar een verklaring van US Cyber Command zei de aanval verlichte “Iraanse uitbuitingsinspanningen”; er stond ook dat de organisatie werd aangevallen door ‘meerdere natiestaten’.
De Advanced Persistent Threat (APT)-aanvallers maakten misbruik van de CVE-2022-47966 Remote Code Execution (RCE)-fout in ManageEngine om ongeoorloofde toegang te verkrijgen via de openbare applicatie van de organisatie, waarna ze persistentie tot stand brachten en lateraal binnen het netwerk bewogen. Ambtenaren uitgegeven waarschuwingen over CVE-2022-47966 in januari; Alle betrokken ManageEngine-producten kunnen kwetsbaar zijn als eenmalige aanmelding is ingeschakeld of ooit is ingeschakeld.
Er werd ook waargenomen dat nog meer APT-actoren exploiteerden CVE-2022-42475 om aanwezigheid op het Fortinet-firewallapparaat van de organisatie tot stand te brengen. De bug werd voor het eerst ontdekt toen hij in januari werd gebruikt als een zero-day-kwetsbaarheid en wordt gedefinieerd als een heap-gebaseerde buffer overflow-kwetsbaarheid in FortiOS SSL-VPN, waardoor een niet-geverifieerde aanvaller op afstand willekeurige code of opdrachten kan uitvoeren via specifiek vervaardigde verzoeken.
De Cyber National Mission Force heeft er bij organisaties op aangedrongen de aanbevolen aanbevelingen te herzien en te implementeren mitigatiestrategieën, waaronder CISA's sectoroverschrijdende prestatiedoelen op het gebied van cyberbeveiligingen de aanbevolen best practices van de NSA voor het beveiligen van op afstand toegankelijke software.
Het luchtvaartincident is niet het eerste geval waarin Iraanse APT's zich richten op de belangen van de Amerikaanse federale overheid. Vorig jaar werd een Door de Iraanse regering gesponsord groep gebruikte de Log4Shell-kwetsbaarheid om de systemen van de Amerikaanse Federal Civilian Executive Branch te doorbreken en malware achter te laten.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- ChartPrime. Verhoog uw handelsspel met ChartPrime. Toegang hier.
- BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
- Bron: https://www.darkreading.com/dr-global/iranian-apt-hits-us-aviation-org-via-manageengine-fortinet-bugs