Fortinetیک نقص امنیتی حیاتی وصله شده که اکنون Fortinet FortiClient EMS را تحت تأثیر قرار می‌دهد توسط عوامل مخرب به‌عنوان بخشی از یک کمپین سایبری که نرم‌افزارهای دسکتاپ از راه دور مانند AnyDesk و ScreenConnect را نصب می‌کنند، مورد بهره‌برداری قرار می‌گیرد.

آسیب‌پذیری موردبحث CVE-2023-48788 (امتیاز ۹٫۳ در CVSS)، یک اشکال تزریق SQL است که به مهاجمان اجازه می‌دهد تا کد یا دستورات غیرمجاز را با ارسال بسته‌های داده ساخته‌شده خاص اجرا کنند[۱].

شرکت امنیت سایبری روسی کسپرسکی گفت که حمله اکتبر ۲۰۲۴ سرور ویندوز یک شرکت ناشناس را هدف قرار داد که در معرض اینترنت قرار داشت و دارای دو پورت باز مرتبط با FortiClient EMS بود.

این شرکت در تحلیلی پنجشنبه ۱۹ دسامبر ۲۰۲۴ گفت[۲]: «شرکت موردنظر از این فناوری استفاده می‌کند تا به کارمندان اجازه دهد سیاست‌های خاصی را در دستگاه‌های شرکت خود دانلود کنند و به آن‌ها دسترسی ایمن به VPN Fortinet را بدهد.»

تجزیه‌وتحلیل بیشتر این حادثه نشان داد که عوامل تهدید از CVE-2023-48788 به‌عنوان یک بردار دسترسی اولیه استفاده کردند و متعاقباً یک فایل اجرایی ScreenConnect را برای دسترسی از راه دور به میزبان در معرض خطر حذف کردند.

کسپرسکی گفت: «پس از نصب اولیه، مهاجمان شروع به آپلود payloadهای اضافی در سیستم در معرض خطر، برای شروع فعالیت‌های کشف و حرکت جانبی، مانند شمارش منابع شبکه، تلاش برای به دست آوردن اعتبار، انجام تکنیک‌های فرار دفاعی و ایجاد نوع دیگری از پایداری از طریق ابزار کنترل از راه دور AnyDesk می‌کنند.»

برخی از ابزارهای قابل‌توجه دیگری که در طول حمله از بین رفته‌اند در زیر فهرست شده‌اند:

  • exe، ابزار بازیابی رمز عبور است که رمزهای عبور ذخیره‌شده در اینترنت اکسپلورر (نسخه ۴٫۰ تا ۱۱٫۰)، موزیلا فایرفاکس (همه نسخه‌ها)، گوگل کروم، سافاری و اپرا را آشکار می‌کند.
  • Mimikatz
  • exe، یک ابزار بازیابی رمز عبور
  • exe، یک اسکنر شبکه

اعتقاد بر این است که عوامل تهدید در پشت این کمپین شرکت‌های مختلفی را با استفاده از زیر دامنه‌های مختلف ScreenConnect (به‌عنوان‌مثال، infinity.screenconnect[.]com) هدف قرار داده‌اند که در برزیل، کرواسی، فرانسه، هند، اندونزی، مغولستان، نامیبیا، پرو، اسپانیا، سوئیس، ترکیه و امارات متحده عربی قرار دارند.

کسپرسکی گفت که در ۲۳ اکتبر ۲۰۲۴ تلاش‌های بیشتری برای مسلح کردن CVE-2023-48788 شناسایی کرده است، این بار برای اجرای یک اسکریپت PowerShell میزبانی‌شده در دامنه وب‌هوک[.] به‌منظور “جمع‌آوری پاسخ‌ها از اهداف آسیب‌پذیر” در طول اسکن یک سیستم مستعد نقص است.

این افشاگری بیش از هشت ماه پس از افشای[۳] کمپین مشابهی که شرکت امنیت سایبری Forescout شامل بهره‌برداری از CVE-2023-48788 برای ارائه payloadهای ScreenConnect و Metasploit Powerfun بود، منتشر شد.

محققان گفتند: “تحلیل این حادثه به ما کمک کرد تا مشخص کنیم که تکنیک‌هایی که در حال حاضر توسط مهاجمان برای استقرار ابزارهای دسترسی از راه دور استفاده می‌شود، دائما در حال به‌روز شدن و افزایش پیچیدگی هستند.”

  منابع

[۱] https://thehackernews.com/2024/03/cisa-alerts-on-active-exploitation-of.html

[۲] https://securelist.com/patched-forticlient-ems-vulnerability-exploited-in-the-wild/115046

[۳] https://thehackernews.com/2024/04/hackers-exploit-fortinet-flaw-deploy.html

[۴] https://thehackernews.com/2024/12/hackers-exploiting-critical-fortinet.html