CISA、FBI和美國網(wǎng)絡(luò)司令部(USCYBERCOM)于本周四（9月7日）發(fā)布的一份聯(lián)合報告顯示，國家支持的黑客組織利用針對Zoho和Fortinet關(guān)鍵漏洞攻擊了美國一家航空組織。

此次攻擊背后的威脅組織尚未公布，聯(lián)合公告中也并未將攻擊者與特定國家聯(lián)系起來，但USCYBERCOM的新聞稿中將此次攻擊活動和伊朗黑客聯(lián)系了起來。

CISA方面聲稱，黑客組織至少從 1 月份開始就入侵了航空組織網(wǎng)絡(luò)。他們此前入侵了一臺運行 Zoho ManageEngine ServiceDesk Plus 和 Fortinet 防火墻的互聯(lián)網(wǎng)外露服務(wù)器。

CISA、FBI和CNMF在公告中提到，有高級持續(xù)威脅（APT）行為者利用CVE-2022-47966漏洞非法訪問了一個面向公眾的應(yīng)用程序（Zoho ManageEngine ServiceDesk Plus），并在其網(wǎng)絡(luò)中建立了持久性。

該漏洞允許黑客在 ManageEngine 應(yīng)用程序上遠程執(zhí)行代碼。還有其他 APT 行為者利用 CVE-2022-42475 在組織的防火墻設(shè)備上建立存在。

正如這三個美國機構(gòu)所警告的那樣，這些威脅組織經(jīng)常會搜索那些面向互聯(lián)網(wǎng)卻沒有打補丁的設(shè)備。在滲入目標網(wǎng)絡(luò)后，攻擊者會在被黑的網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件上保持持久性。這些網(wǎng)絡(luò)設(shè)備很可能會被用作受害者網(wǎng)絡(luò)內(nèi)橫向移動的基礎(chǔ)或者惡意基礎(chǔ)設(shè)施。

美國國家安全局建人們采取措施以確?；A(chǔ)設(shè)施的安全，這些措施包括但不限于保護所有系統(tǒng)免受所有已知漏洞的攻擊、監(jiān)控遠程訪問軟件的未經(jīng)授權(quán)使用，以及刪除不必要（已禁用）的賬戶和組（尤其是特權(quán)賬戶）。

攻擊和確保系統(tǒng)安全的警告

今年 1 月，CISA 下令聯(lián)邦機構(gòu)保護其系統(tǒng)免受 CVE-2022-47966 漏洞的攻擊，幾天后，網(wǎng)上發(fā)布了概念驗證 (PoC) 漏洞利用代碼，威脅方開始攻擊未打補丁的 ManageEngine 實例，以打開反向外殼。

在 CISA 發(fā)出警告幾個月后，朝鮮 Lazarus 黑客組織也開始利用 Zoho 漏洞，成功入侵了醫(yī)療機構(gòu)和一家互聯(lián)網(wǎng)骨干基礎(chǔ)設(shè)施提供商。

聯(lián)邦調(diào)查局和 CISA 就國家支持的組織利用 ManageEngine 漏洞攻擊關(guān)鍵基礎(chǔ)設(shè)施，包括金融服務(wù)和醫(yī)療保健發(fā)布了其他多條警報。

正如Fortinet在1月份披露的那樣，CVE-2022-42475 FortiOS SSL-VPN漏洞在針對政府組織和相關(guān)目標的攻擊中也被作為零日漏洞加以利用。

Fortinet 曾在去年11月28日修復(fù)了該漏洞，但并未公布該漏洞被利用的具體信息。不過Fortinet 自12 月中旬后已經(jīng)開始敦促客戶為其設(shè)備打上補丁，以確保設(shè)備安全。