美国CISA、FBI和网络司令部发布的一份联合报告显示，国家支持的黑客组织利用Fortinet FortiOS SSL-VPN和Zoho ManageEngine ServiceDesk Plus关键漏洞攻击了美国一家航空机构。此次网络攻击事件背后的黑客组织尚未被命名，虽然联合通报没有将攻击者与特定国家联系起来，但美国网络司令部的新闻稿暗示攻击与伊朗民族国家工作者有关。

根据发布的联合警报显示，国家高级威胁行为者利用CVE-2022-47966未经授权访问面向公众的应用程序（Zoho ManageEngine ServiceDesk Plus），建立持久性，并在网络中横向移动。

CVE-2022-47966指的是一个关键的远程代码执行缺陷，该缺陷使未经身份验证的攻击者能够完全接管易受影响的实例。在成功利用这一漏洞之后，黑客获得了对web服务器的根级别访问权限，并采取措施下载其他恶意软件、收集管理用户凭据，并在网络中横向移动。

这些发现是基于CISA于2023年2月至4月在一家未具名的航空部门机构进行的事件响应调查。有证据表明，恶意活动早在2023年1月18日就开始了。并且美国网络司令部暗示伊朗民族国家工作者参与了袭击。

正如这三个美国机构所警告的那样，这些威胁组织经常扫描面向互联网的设备上未修补的漏洞，以查找关键且易于利用的安全漏洞。

据称，该黑客组织还利用Fortinet FortiOS SSL-VPN中的严重漏洞CVE-2022-42475来访问防火墙。Fortinet还警告说，在攻击期间，额外的恶意有效负载被下载到受感染的设备上，这些有效负载无法检索进行分析。

Fortinet于2022年11月28日悄然修复了该漏洞，但没有发布该漏洞已被广泛利用的信息，随后，12月中旬，客户首次被敦促修补其设备以抵御持续的攻击。

---

转自 E安全，原文链接：https://mp.weixin.qq.com/s/ZVLSpOEg4Un3DgPbu8snBw

封面来源于网络，如有侵权请联系删除