CISA alerta para exploração de falhas do Exchange e da Fortinet

A CISA, o FBI, o centro de cibersegurança da Austrália (ACSC, na sigla em inglês) e o centro de cibersegurança nacional do Reino Unido (NCSC, na sigla em inglês) emitiram um conselho de cibersegurança referente à exploração de vulnerabilidades no Microsoft Exchange e na Fortinet.

O alerta revela que o FBI e a CISA observaram que um grupo com fortes ligações ao estado iraniano estão a explorar as vulnerabilidades da Fortinet e do Microsoft Exchange ProxyShell para ganhar acesso inicial ao sistema antes de avançarem nas suas operações, que inclui implementar ransomware no sistema.

O conselho por parte das quatro entidades mencionadas “fornece táticas e técnicas observadas, bem como indicadores de comprometimento que o FBI, a CISA, a ACSC e a NCSC avaliam estão provavelmente associados a esta atividade APT patrocinada pelo governo iraniano. O FBI, a CISA, a ACSC e a NCSC exortam as organizações de infraestrutura crítica a aplicarem as recomendações listadas no comunicado para mitigar o risco de compromisso de cibercriminosos patrocinados pelo governo iraniano”.

De acordo com o alerta, o grupo está a explorar as vulnerabilidades presentes na Fortinet desde, pelo menos, março de 2021 e a vulnerabilidade Proxyshell no Microsoft Exchange desde, pelo menos, outubro de 2021. Para além da implementação de ransomware, o grupo procura fazer exfiltração de dados ou encriptação dos mesmos e, de seguida, extorsão.

O alerta menciona que o grupo está a “visar ativamente uma ampla gama de vítimas em vários setores de infraestrutura crítica dos EUA, incluindo o setor de transporte e o setor de saúde e saúde pública, bem como organizações australianas”.