Elemzés a Salt Typhoon által kihasznált sérülékenységekről

January 24, 2025 TrainedR CVE-2021-26855, CVE-2022-3236, CVE-2023-46805, CVE-2023-48788, CVE-2024-21887, Exploited, Kína, Salt Typhoon, Sérülékenység, Volt Typhoon, Vulnerability

A Kínai Népköztársasághoz köthető, államilag támogatott Salt Typhoon (más néven Earth Estries, FamousSparrow, GhostEmperor, UNC2286) legalább kilenc amerikai székhelyű távközlési vállalatot kompromittált azzal a szándékkal, hogy magas rangú kormányzati és politikai személyiségeket vegyen célba. 2024-ben a Kínai Népköztársasággal kapcsolatban álló, fejlett, tartós fenyegetések (APT) által elkövetett támadások az amerikai kormányzati szervezetek, köztük a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) számára is kiemelt fontosságúak voltak. Egy korábbi blogbejegyzésben a Volt Typhoon-t vizsgálta a Tenable, Kína által támogatott kiberszereplőt, aki a kritikus infrastruktúrákat veszi célba. 2024. szeptemberben azonban a Wall Street Journal egy másik kínai szereplőről, a Salt Typhoonról számolt be, névtelen forrásokra hivatkozva, amelyek szerint a csoport több amerikai távközlési szolgáltatót is megtámadott. Míg a jelentéssel kapcsolatos spekulációkról több hírügynökség is beszámolt, október elején a CISA és a Szövetségi Nyomozó Iroda (FBI) hivatalosan megerősítette a támadásokat, egy közös közleményben, miszerint „az Egyesült Államok kormánya nyomozást folytat a Kínai Népköztársasághoz köthető szereplők által a kereskedelmi távközlési infrastruktúrához való jogosulatlan hozzáférés ügyében”. 2024.d decemberre a Fehér Ház sajtóértesülése megerősítette, hogy legalább nyolc amerikai távközlési szolgáltatót törtek fel, és ez a szám december 27-re legalább kilenc távközlési vállalatra nőtt.

A Salt Typhoonról és a célpontokról újabb részletek derültek ki, ezért a Tenable Research megvizsgálta az alkalmazott taktikákat, technikákat és eljárásokat (TTP-k), beleértve az ismert sérülékenységeket, amelyeket a Salt Typhoon kihasznált. Ezek többek között:

CVE-2021-26855 – Microsoft Exchange Server SSRF sérülékenység (ProxyLogon) CVSS: 9.8
CVE-2022-3236 – Sophos tűzfal Code Injection sérülékenység CVSS: 9.8
CVE-2023-48788 – FortiClient Enterprise Management Server (FortiClientEMS) SQL Injection sérülékenység CVSS: 9.8
CVE-2024-21887 – Ivanti Connect Secure és Ivanti Policy Secure Command Injection sérülékenység CVSS: 9.1
CVE-2023-46805 – Ivanti Connect Secure és Ivanti Policy Secure Authentication Bypass sérülékenység CVSS: 8.2

Forrás

You May Also Like

A kínai hátterű APT csoport a thaiföldi kormányzati adatokat célozta

WordPress LayerSlider sérülékenység

ARPA: 50 millió dollár a kórházi informatikai rendszerek kiberbiztonságának fejlesztésére