CISA、FBI和美國網絡司令部(USCYBERCOM)于本周四（9月7日）發布的一份聯合報告顯示，國家支持的黑客組織利用針對Zoho和Fortinet關鍵漏洞攻擊了美國一家航空組織。

此次攻擊背后的威脅組織尚未公布，聯合公告中也并未將攻擊者與特定國家聯系起來，但USCYBERCOM的新聞稿中將此次攻擊活動和伊朗黑客聯系了起來。

CISA方面聲稱，黑客組織至少從 1 月份開始就入侵了航空組織網絡。他們此前入侵了一臺運行 Zoho ManageEngine ServiceDesk Plus 和 Fortinet 防火墻的互聯網外露服務器。

CISA、FBI和CNMF在公告中提到，有高級持續威脅（APT）行為者利用CVE-2022-47966漏洞非法訪問了一個面向公眾的應用程序（Zoho ManageEngine ServiceDesk Plus），并在其網絡中建立了持久性。

該漏洞允許黑客在 ManageEngine 應用程序上遠程執行代碼。還有其他 APT 行為者利用 CVE-2022-42475 在組織的防火墻設備上建立存在。

正如這三個美國機構所警告的那樣，這些威脅組織經常會搜索那些面向互聯網卻沒有打補丁的設備。在滲入目標網絡后，攻擊者會在被黑的網絡基礎設施組件上保持持久性。這些網絡設備很可能會被用作受害者網絡內橫向移動的基礎或者惡意基礎設施。

美國國家安全局建人們采取措施以確保基礎設施的安全，這些措施包括但不限于保護所有系統免受所有已知漏洞的攻擊、監控遠程訪問軟件的未經授權使用，以及刪除不必要（已禁用）的賬戶和組（尤其是特權賬戶）。

攻擊和確保系統安全的警告

今年 1 月，CISA 下令聯邦機構保護其系統免受 CVE-2022-47966 漏洞的攻擊，幾天后，網上發布了概念驗證 (PoC) 漏洞利用代碼，威脅方開始攻擊未打補丁的 ManageEngine 實例，以打開反向外殼。

在 CISA 發出警告幾個月后，朝鮮 Lazarus 黑客組織也開始利用 Zoho 漏洞，成功入侵了醫療機構和一家互聯網骨干基礎設施提供商。

聯邦調查局和 CISA 就國家支持的組織利用 ManageEngine 漏洞攻擊關鍵基礎設施，包括金融服務和醫療保健發布了其他多條警報。

正如Fortinet在1月份披露的那樣，CVE-2022-42475 FortiOS SSL-VPN漏洞在針對政府組織和相關目標的攻擊中也被作為零日漏洞加以利用。

Fortinet 曾在去年11月28日修復了該漏洞，但并未公布該漏洞被利用的具體信息。不過Fortinet 自12 月中旬后已經開始敦促客戶為其設備打上補丁，以確保設備安全。