Các tác nhân đe dọa được nhà nước bảo trợ đã khai thác một tổ chức hàng không Hoa Kỳ, sử dụng các lỗ hổng đã biết trong phần mềm Zoho ManagedEngine và trong tường lửa Fortinet.

Tổ chức này chưa được nêu tên, nhưng một tuyên bố của Bộ Tư lệnh Mạng Hoa Kỳ cho biết vụ tấn công nêu rõ “những nỗ lực khai thác của Iran”; nó cũng cho biết tổ chức này đang bị tấn công bởi “nhiều quốc gia”.

Những kẻ tấn công có mối đe dọa liên tục nâng cao (APT) đã khai thác CVE-2022-47966 Lỗ hổng thực thi mã từ xa (RCE) trong ManaEngine nhằm giành quyền truy cập trái phép thông qua ứng dụng công khai của tổ chức, sau đó chúng đã thiết lập tính bền bỉ và di chuyển ngang trong mạng. Cán bộ ban hành cảnh báo về CVE-2022-47966 trong tháng Một; mọi sản phẩm ManagedEngine bị ảnh hưởng đều có thể dễ bị tấn công nếu tính năng đăng nhập một lần đã hoặc đã từng được bật.

Các tác nhân APT bổ sung cũng được quan sát thấy đang khai thác CVE-2022-42475 để thiết lập sự hiện diện trên thiết bị tường lửa Fortinet của tổ chức. Lỗi này lần đầu tiên được phát hiện khi được sử dụng làm lỗ hổng zero-day vào tháng XNUMX và được định nghĩa là bộ đệm dựa trên heap lỗ hổng tràn trong FortiOS SSL-VPN, điều này có thể cho phép kẻ tấn công không được xác thực từ xa thực thi mã hoặc lệnh tùy ý thông qua các yêu cầu được tạo cụ thể.

Lực lượng truyền giáo quốc gia về mạng kêu gọi các tổ chức xem xét và thực hiện các khuyến nghị chiến lược giảm thiểu, Trong đó bao gồm Mục tiêu thực hiện an ninh mạng liên ngành của CISAvà các phương pháp hay nhất được NSA khuyến nghị để bảo mật phần mềm có thể truy cập từ xa.

Sự cố hàng không không phải là trường hợp đầu tiên APT của Iran nhắm vào lợi ích của chính phủ liên bang Hoa Kỳ. Năm ngoái, một Chính phủ Iran tài trợ nhóm đã sử dụng lỗ hổng Log4Shell để xâm nhập hệ thống Chi nhánh điều hành dân sự liên bang Hoa Kỳ và để lại phần mềm độc hại.