Des failles non corrigées dans les produits Fortinet et Zoho exploitées par des attaquants
Les cybercriminels exploitent des vulnérabilités non corrigées dans les produits Fortinet et Zoho, ce qui rend de nombreuses organisations vulnérables. Selon un rapport de Check Point Research, les attaquants exploitent ces vulnérabilités depuis plusieurs mois, et le nombre d'attaques a considérablement augmenté ces dernières semaines.
Les utilisateurs des produits Zoho qui utilisent ManageEngine et qui n'ont pas installé les mises à jour de sécurité qui corrigent CVE-2022-47966 (score CVSS : 9.8), une vulnérabilité d'exécution de code à distance avant authentification, sont vulnérables à une autre attaque de plusieurs acteurs de la menace. Par conséquent, les acteurs de la menace l'utilisent maintenant comme vecteur d'attaque pour déployer des logiciels malveillants capables d'exécuter des charges utiles de niveau supérieur.
Les deux vulnérabilités ont un indice de gravité de 9,8 sur 10 et se trouvent dans deux produits non liés qui sont essentiels pour la sécurisation des grands réseaux. La première, CVE-2022-47966, est une vulnérabilité d'exécution de code à distance avant authentification dans 24 produits Zoho ManageEngine différents. Elle a été corrigée par vagues entre octobre et novembre de l'année dernière. La deuxième vulnérabilité, CVE-2022-39952, affecte un produit Fortinet appelé FortiNAC et a été corrigée la semaine dernière.
Les attaquants à l'origine de ces campagnes ciblent les systèmes vulnérables à l'aide d'une série d'exploits. Une fois qu'ils ont accédé à un système, ils installent des portes dérobées qui leur permettent de poursuivre leurs attaques. En envoyant une requête HTTP POST standard avec une réponse spécialement élaborée utilisant le langage SAML (Security Assertion Markup Language), les attaquants peuvent exécuter un code malveillant à distance. (SAML est un langage standard ouvert utilisé pour échanger des données d'authentification et d'autorisation entre les fournisseurs d'identité et les fournisseurs de services). Cette faille est due à l'utilisation par Zoho d'une version obsolète d'Apache Santuario pour la validation des signatures XML.
Horizon3.ai, une société de tests de pénétration, aurait commencé ses efforts d'exploitation le lendemain de la publication d'une preuve de concept (PoC) le mois dernier. L'objectif principal des attaques détectées jusqu'à présent a été de déployer des outils sur des hôtes vulnérables comme Netcat et Cobalt Strike Beacon. Certaines intrusions ont tenté d'installer le logiciel AnyDesk pour l'accès à distance, tandis que d'autres ont tenté d'installer la souche du ransomware Buhti sur Windows.
Les sources de cette pièce comprennent un article d'ArsTechnica.