سواستفاده از آسیبپذیری جدی Fortinet EMS برای استقرار ابزارهای دسترسی از راه دور
اخبار داغ فناوری اطلاعات و امنیت شبکه
یک نقص امنیتی حیاتی پچشده که اکنون Fortinet FortiClient EMS را تحتتاثیر قرار میدهد، توسط عوامل مخرب بهعنوان بخشی از یک کمپین سایبری که نرمافزارهای ریموت دسکتاپ از راه دور مانند AnyDesk و ScreenConnect را نصب میکنند، مورد سواستفاده قرارگرفته است.
آسیبپذیری موردبحث CVE-2023-48788 (امتیاز CVSS: 9.3)، یک باگ تزریق SQL است که به مهاجمان اجازه میدهد تا کد یا دستورات غیرمجاز را با ارسال پکتهای داده ساختهشده خاص اجرا کنند.
شرکت امنیت سایبری روسی کسپرسکی گفت که حمله اکتبر 2024 سرور ویندوز یک شرکت ناشناس را هدف قرار داد که متصل به اینترنت بوده و دارای دو پورت باز مرتبط با FortiClient EMS بود.
این شرکت در تحلیل در روز پنجشنبه گفت: «شرکت مورد نظر از این فناوری استفاده میکند تا بهکارمندان اجازه دهد سیاستهای خاصی را در دستگاههای شرکت خود دانلود کنند و به آنها دسترسی ایمن به Fortinet VPN را بدهد».
تجزیهوتحلیل بیشتر این حادثه نشان داد که عوامل تهدید از CVE-2023-48788 بهعنوان یک مسیر دسترسی اولیه استفاده کردند و متعاقبا یک فایل اجرایی ScreenConnect را برای دسترسی از راه دور به میزبان در معرض خطر حذف کردند.
کسپرسکی میگوید: «پس از نصب اولیه، مهاجمان شروع به آپلود payloadهای اضافی در سیستم در معرض خطر، برای شروع فعالیتهای کشف و حرکت جانبی، مانند شمارش منابع شبکه، تلاش برای بهدست آوردن اعتبارنامهها، انجام تکنیکهای فرار از ساختار دفاعی و ایجاد نوع دیگری از پایداری از طریق ابزار کنترل از راه دور AnyDesk کردند».
برخی از ابزارهای قابلتوجه دیگری که در طول حمله مستقر شدهاند در زیر آمدهاند:
• ابزار webbrowserpassview.exe که یک ابزار بازیابی رمز عبور است که رمزهای عبور ذخیره شده در اینترنت اکسپلورر (نسخه 4.0 – 11.0)، موزیلا فایرفاکس (همه نسخهها)، گوگل کروم، سافاری و اپرا را آشکار میکند.
• میمیکاتز (Mimikatz)
• ابزار netpass64.exe، که یک ابزار بازیابی رمز عبور است.
• ابزار netscan.exe، که یک اسکنر شبکه است.
اعتقاد بر این است که عوامل تهدید پشت این کمپین شرکتهای مختلفی را هدف قرار دادهاند که در برزیل، کرواسی، فرانسه، هند، اندونزی، مغولستان، نامیبیا، پرو، اسپانیا، سوئیس، ترکیه و امارات متحده عربی قرار دارند. با استفاده از زیر دامنههای مختلف ScreenConnect (به عنوان مثال، infinity. screenconnect[.]com).
کسپرسکی گفت که در 23 اکتبر 2024 تلاشهای بیشتری برای بهرهبرداری از CVE-2023-48788 را شناسایی کرده است، و این بار برای اجرای یک اسکریپت PowerShell میزبانی شده در دامنه webhook[.]site بهمنظور "جمعآوری پاسخها از اهداف آسیبپذیر" در طول اسکن یک سیستم مستعد نقص، استفاده گردیده است.
این افشاگری بیش از هشت ماه پس از افشای کمپین مشابهی که شرکت امنیت سایبری Forescout شامل سواستفاده از CVE-2023-48788 برای ارائه payloadهای ScreenConnect و Metasploit Powerfun بود، منتشر شد.
محققان میگویند: «تحلیل این حادثه به ما کمک کرد تا مشخص کنیم که تکنیکهایی که در حال حاضر توسط مهاجمان برای استقرار ابزارهای دسترسی از راه دور استفاده میشود، دائما در حال به روز شدن و افزایش پیچیدگی هستند».
برچسب ها: Metasploit Powerfun, EMS, CVE-2023-48788, Fortinet Forticlient EMS, ScreenConnect, دسترسی از راه دور, فورتینت, Mimikatz, Remote Access, AnyDesk, Fortinet VPN, Fortinet, PowerShell, cybersecurity, باگ, bug, آسیبپذیری, Vulnerability, جاسوسی سایبری, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news