AA23-250A:多民族威胁行为方CVE-2022-47966和CVE-2022-4245
![](http://www.yyueer.com/zh-cn/sites/default/files/images/articles/blog_tenable-research_advisory_blue.jpg)
网络安全联合咨询研究国家威胁行为方利用两个关键漏洞
后台
9月7日联合网络安全咨询网络安全安全安全局(CISA)和其他伙伴联名发布以突出民族先进持久威胁行为方所观察的策略、技巧和程序加空局表示,2023年1月初APT操作器开发CVE-2022-47966后,无名航空组织被破解CVE-2022-4245
分析
CVE2022-47966远程代码执行漏洞影响多Zoho管理Engine预设产品,包括ServiceDesk+漏洞因使用过期版Apache Santuario而产生,这是一个XML安全软件库显示管理引擎安全咨询受冲击产品只有在SAML基础SSO实现或过去实现时才能开发使用,视产品而定
受创产品补丁于2022年10月底11月初发布,但安全咨询直到2023年1月10日才发布一九九年一月十九日, 研究者地平线3.ai发布技术写作并proof-of-conceptCVE2022-47966
CSA表示,APT操作器能够利用这一漏洞对抗无源公共服务器主机Zoho管理EngineServiceDesk+开发CVE2022-47966允许威胁行为方从服务器获取根级访问权,并随后用它创建带管理员权限的本地用户账户APT继续从组织网络横向探索和移动,包括试图排查地方安全局子系统服务hashesAPT角色还使用合法应用工具如Mimikatz、nmap和Metasploit
2023年4月a微软博客文章详细发布薄沙暴TTPs,微软博客文章表示Mint沙暴开始开发CVE-2022-47966CSA AA23-250A不使用微软命名协议或提到微软博客贴文,TTP使用中似乎有相似之处,所以这可能是同一组或两个组有某种关联性并发加局前发加局AA22-320A:伊朗政府委托APT演算器折合联邦网,部署加密矿工证书采集器.
CVE-2022-4245算法堆积缓冲溢出数版FortinetFortiOS系统可用远程非认证攻击者获取代码执行请求漏洞源披露Olympe网络防御2022年12月9日12月12日Fortinet发布安全咨询指出脆弱点已在开发中观察到2023年1月Fortinet发布博客文章附加细节利用脆弱点,包括折中指标
CSA显示 第二组未归并威胁行为主体使用合法证书从失密防火墙移动到 web服务器并安装数个Webshell互联网对面装置如防火墙和SSLVPNs理想门进组织网络
试图开发log4shell(CVE-2021-44228)
据加空局称,威胁作用者试图利用CVE-2021-44228serviceDesk+web服务器上失败Log4j2中臭名昭著的RCE于2021年12月披露,并持续纠缠尚未成功修复受影响设备的组织威胁行为方在此例中败诉 至2022年10月1日72%的组织仍然易受日志4shell.
8月3日CISA和多美和国际机构发布CSAA23-215A详解顶端例行开发漏洞2022年共42项常见易损度和接触清单包括CVE-2021-44228并突出显示威胁行为方和APT继续瞄准已知和可开发的脆弱性正像我们在探索2022威胁横向报告已知和可开发的脆弱性仍然是对组织最持久威胁之一
微软在Mint沙暴博客文章中表示,举例说,这些APT行为主体具有机会性,并用现成pocs继续成功开发已知漏洞
求解
加空提供数条缓解建议供组织实施最顶端是补丁FortinetsSSLVPNs中仍然易受ZoHO管理CVE2022-47966或CVE2022-4245推荐分五类
- 管理漏洞和配置
- 段网络
- 管理账号、权限和工作站
- 安全远程访问软件
- 其它最佳做法减缓建议
我们建议详细审查并实施适用于网络的缓解策略
除这些缓解建议外,加空局顶端还重点介绍即时行动概述:
- 补丁所有系统已知受开发漏洞包括防火墙安全器件
- 监控器未经授权使用端点检测工具远程访问软件
- 清除企业不再需要的不必要(残疾)账户和分组,特别是特权账户
识别受影响的系统
可租制提供几种解决办法帮助识别潜在接触和攻击路径并识别易受加评中提及的CVE系统影响的系统整体方法推荐Tenable One上头可租单接触管理平台超出传统脆弱程度管理范围,集中探索并修复公开披露的CVEs置入管理程序基础部分之一,Tenable One包含配置问题数据、漏洞和攻击路径跨方位资产和技术-包括身份解决方案(例如主动目录)云配置部署网页应用
可调试插件覆盖
可租插件列表识别受CVE-2022-47966影响的系统来.此外,Tenable发布多插件识别Log4shell(CVE-2021-44228).链接使用搜索滤波确保所有匹配插件覆盖要识别受CVE-2022-4245影响的系统,请参考本页.
检测CSA中提及工具
可租附加路径技巧
MITREATTCID | 描述性 | 可调用攻击路径技巧 |
---|---|---|
T1059.001 | 命令脚本解释器:Powershell | T1059.001_Windows |
T1078.003 | 有效账号:局部账号 | T1078.003_Windows |
T1068 | 特权梯度开发 | T1068_Windows |
T1003.001 | OS证书倾销:LSASS内存 | T1003.001_Windows |
T1003.002 | OS证书倾销:安全账管理人 | T1003.002_Windows |
T1021.001 | 远程服务:远程桌面协议 | T1021.001_Windows |
1053.005 | 定时任务/工作b:定时任务 | T1053.005_Windows |
T1133 | 外部远程服务 | T1133_Windows |
可租身份接触指标和攻击指标
MITREATTCID | 描述性 | 指针 |
---|---|---|
T1046 | 网络服务发现 | DNS编号 |
T1003.001 | OS证书倾销:LSASS内存 | OS证书倾销:LSASS内存受保护用户群 |
获取更多信息
- AA23-250A:多民族威胁行为方CVE-2022-47966和CVE-2022-4245
- Zoho管理引擎CVE-2022-47966安全咨询
- objective3.i技术分析CVE-2022-47966
- 地平线3.aipoCc2022-47966
- 微软博客文章民族状态APT薄沙暴
- Olympe网络防御博客文章CVE-2022-4245
- 前沿安全咨询CVE-2022-4245:FG-IR-22-398
- Fortinet博客:FG-IR-22-398-FortiOS-堆积缓冲溢出SSLVPN
- 可租博客:CVE-2022-4245:Fortinet补丁零日
加入腾布尔安全响应队房东社区
深入了解可租一号接触管理平台现代攻击面
相关文章
- 曝光管理