Grupos de hackers respaldados gubernamentalmente han comprometido a una entidad de aviación de EE.UU. al explotar vulnerabilidades críticas presentes en los sistemas de Zoho ManageEngine y Fortinet. Esto fue comunicado el jueves a través de un aviso conjunto emitido por la CISA, el FBI y el USCYBERCOM.
Aunque hasta el momento no se ha identificado formalmente a los grupos que están detrás de este ciberataque, USCYBERCOM ha asociado a los agresores con iniciativas de explotación provenientes de Irán. La CISA ha revelado que los atacantes han tenido acceso a la red de la organización afectada desde enero, gracias a la infiltración en un servidor que estaba expuesto a Internet y que operaba con Zoho ManageEngine ServiceDesk Plus y un firewall de Fortinet.
El acceso no autorizado fue posible a través de la explotación de una vulnerabilidad identificada como CVE-2022-47966, que permitió a los ciberdelincuentes establecer una presencia persistente en la red y trasladarse de manera lateral por ella. Este fallo abría una puerta para la ejecución remota de código en la aplicación ManageEngine. Se detectó también la explotación de otra vulnerabilidad, la CVE-2022-42475, para mantener una presencia activa en el dispositivo firewall de la organización.
Las agencias estadounidenses señalan que los grupos de amenazas buscan continuamente vulnerabilidades en dispositivos conectados a Internet que no estén adecuadamente protegidos contra errores críticos de seguridad, aprovechándose de ellos para infiltrarse. Una vez dentro de la red, los atacantes se aseguran de mantener su presencia en los elementos comprometidos de la infraestructura de red, utilizando estos puntos como plataformas para movimientos laterales dentro de las redes de las víctimas, sirviendo para infraestructuras maliciosas o una mezcla de ambas.
En vista de esta situación, se urge a los defensores de redes a aplicar estrategias de mitigación compartidas en recomendaciones actuales, además de seguir las mejores prácticas propuestas por la NSA para blindar su infraestructura. Entre las recomendaciones destacadas se encuentra la protección integral contra todas las vulnerabilidades conocidas, el monitoreo constante para detectar el uso no autorizado de software de acceso remoto y la eliminación de cuentas y grupos que no sean necesarios, prestando especial atención a las cuentas con privilegios elevados.
Este suceso recalca la importancia de mantener una estrategia de ciberseguridad robusta que incluya la actualización constante de los sistemas para protegerse contra vulnerabilidades potencialmente explotables y garantizar así la integridad de las infraestructuras críticas.
En enero, poco después de que los perpetradores de amenazas empezaran a dirigir sus ataques a instancias de ManageEngine desprotegidas disponibles en línea, utilizando para ello un código de explotación de prueba de concepto (PoC) que había sido publicado en la red, la CISA instruyó a las agencias federales para que blindaran sus sistemas contra los exploits CVE-2022-47966.
No mucho tiempo después de que CISA emitiera este aviso, el colectivo hacker norcoreano conocido como Lazarus comenzó a sacar provecho de esta vulnerabilidad presente en el software de Zoho ManageEngine. Como resultado, consiguieron infiltrarse con éxito en varias organizaciones sanitarias y un proveedor central de servicios de Internet.
Por su parte, tanto el FBI como la CISA no se quedaron atrás y lanzaron varias alertas en las que advertían sobre colectivos apoyados por gobiernos que estaban utilizando las debilidades de ManageEngine para lanzar ataques a infraestructuras vitales, que abarcaban desde el sector financiero hasta el sistema de salud.
En esta misma línea, en enero, Fortinet sacó a la luz que la falla CVE-2022-42475 en FortiOS SSL-VPN se había utilizado en una serie de ataques de día cero dirigidos a entidades gubernamentales y otros objetivos asociados. Además, señaló que, en el transcurso de estos asaltos, se habían insertado cargas maliciosas adicionales en los equipos afectados, las cuales no se pudieron extraer para analizar posteriormente.
Aunque la primera invitación a los clientes para que actualizaran sus dispositivos y los protegieran contra los ataques en marcha no llegó hasta mediados de diciembre, Fortinet había subsanado en silencio el fallo mucho antes, concretamente el 28 de noviembre, sin divulgar en ese momento que la vulnerabilidad ya estaba siendo explotada activamente.
Este panorama reitera la vital importancia de actualizar los sistemas de seguridad y prestar atención a las alertas y comunicados de las organizaciones encargadas de garantizar la ciberseguridad, con el fin de prevenir invasiones y proteger información sensible.
Te podría interesar leer: Fortinet corrige vulnerabilidad crítica en SSL VPN (CVE-2023-27997)
ManageEngine aclara:
ManageEngine quiere señalar que la vulnerabilidad identificada como CVE-2022-47966 concierne a los productos de la marca que se instalan de manera local, una situación que fue resuelta satisfactoriamente con un parche lanzado a finales de 2022.
Dado que los productos implicados son de uso local, queremos subrayar la necesidad de mantener las instalaciones actualizadas, aplicando los parches de seguridad que lanzamos de forma periódica. Queremos transmitir tranquilidad a nuestros usuarios, asegurando que, siempre que hayan aplicado nuestro parche correspondiente al año 2022, estarán protegidos contra los problemas asociados a la CVE-2022-47966.
¡No dejes que tus datos caigan en manos equivocadas! En TecnetOne sabemos que la seguridad de tu información es primordial. Con nuestro servicio SOC as a Service, te brindamos las herramientas necesarias para prevenir intrusos y proteger la información sensible de tu empresa.
Con el SOC as a Service de TecnetOne, estás un paso adelante:
- Protección superior: Evita intrusos y resguarda tu valiosa información de manos indebidas.
- Tranquilidad garantizada: Duerme tranquilo sabiendo que TecnetOne está vigilando proactivamente tu red las 24/7.
- Soluciones a tu medida: Un servicio diseñado para adaptarse a las necesidades específicas de tu negocio.