美国航空组织通过 Zoho、Fortinet 漏洞遭到黑客攻击

第一个漏洞编号为 CVE-2022-47966（CVSS 评分为 9.8），影响了 20 多个本地 Zoho ManageEngine 产品，允许远程攻击者在受影响的系统上执行任意代码。

该严重性问题已于 2022 年 11 月得到修复，但在 2023 年 1 月，即针对该缺陷的概念验证 (PoC) 漏洞利用发布前不久，就观察到了利用的第一个迹象。当时，安全公司发现了数千个暴露的 ManagedEngine 实例。

第二个漏洞 CVE-2022-42475（CVSS 评分为 9.8）影响多个 FortiOS SSL-VPN 和 FortiProxy SSL-VPN 版本，并于 2022 年 12 月通过紧急补丁解决。

然而，2023 年 1 月，Mandiant 警告称，在补丁发布之前，该漏洞已被中国黑客用作零日漏洞，针对欧洲政府组织和非洲托管服务提供商发起攻击。

经过 2023 年 2 月至 4 月的调查后，CISA、FBI 和 CNMF 发现，从今年 1 月开始，多个 APT 利用这两个缺陷，在航空组织的网络上建立持久性。

“CISA 和联合密封者评估，早在 2023 年 1 月开始，多个民族国家 APT 参与者就通过至少两个初始访问向量出现在该组织的网络上，”这三个机构在一份咨询报告 (PDF) 中指出。
通过利用 CVE-2022-47966，攻击者获得了对托管 Zoho ManageEngine ServiceDesk Plus 的 Web 服务器的根级别访问权限，创建了具有管理权限的本地用户帐户，执行侦察、部署恶意软件、获取凭证，并横向移动到网络中。

“CISA 和联合密封者无法确定专有信息是否被访问、更改或泄露。这是因为该组织没有明确定义其数据的集中位置，并且 CISA 的网络传感器覆盖范围有限。”

该通报显示，另一个 APT 在 2 月上半月利用 CVE-2022-42475 破坏了组织的防火墙设备并建立了多个 VPN 连接。攻击者禁用了管理员凭据并删除了日志，从而阻止了后续活动的检测。

该通报解释说：“我们发现，APT 攻击者泄露并使用了先前雇用的承包商提供的已禁用的合法管理帐户凭据，该组织确认该用户在观察到的活动之前已被禁用。”

攻击者建立了多个 TLS 加密会话，从受感染的防火墙传输数据，并横向移动到 Web 服务器，并在其中部署 Web shell。

调查显示，威胁行为者在攻击过程中使用了多种现成的工具，包括 Mimikatz（凭证转储）、Ngrok（创建专用连接隧道）、ProcDump（进程转储程序）、Metasploit、anydesk.exe（远程访问）等。

CISA、FBI 和 CNMF 在其通报中提供了有关这些工具的信息、观察到的活动的详细时间表、与攻击相关的危害指标 (IoC)，以及防止类似攻击的建议缓解措施列表。