Uma falha crítica de segurança agora corrigida, impactando o Fortinet FortiClient EMS, está sendo explorada por atores maliciosos como parte de uma campanha cibernética que instalou softwares de desktop remoto como AnyDesk e ScreenConnect.
A vulnerabilidade em questão é a
CVE-2023-48788
(pontuação CVSS: 9.3), um bug de SQL injection que permite aos atacantes executar código ou comandos não autorizados enviando pacotes de dados especialmente criados.
A firma russa de cibersegurança Kaspersky disse que o ataque de outubro de 2024 mirou um servidor Windows de uma empresa não nomeada que estava exposto à internet e tinha duas portas abertas associadas ao FortiClient EMS.
"A empresa alvo emprega essa tecnologia para permitir que os funcionários baixem políticas específicas para seus dispositivos corporativos, concedendo-lhes acesso seguro à VPN da Fortinet," disse ela em uma análise de quinta-feira(19).
Análises adicionais do incidente descobriram que os atores da ameaça tiraram vantagem da
CVE-2023-48788
como um vetor de acesso inicial, subsequentemente soltando um executável ScreenConnect para obter acesso remoto ao host comprometido.
"Após a instalação inicial, os atacantes começaram a fazer upload de payloads adicionais no sistema comprometido, para iniciar atividades de descoberta e movimento lateral, como enumerar recursos de rede, tentar obter credenciais, realizar técnicas de evasão de defesa e gerar um tipo adicional de persistência por meio da ferramenta de controle remoto AnyDesk," disse Kaspersky.
Algumas das outras ferramentas notáveis soltas durante o ataque estão listadas abaixo:
- webbrowserpassview.exe, uma ferramenta de recuperação de senha que revela senhas armazenadas no Internet Explorer (versão 4.0 – 11.0), Mozilla Firefox (todas as versões), Google Chrome, Safari e Opera;
- Mimikatz;
- netpass64.exe, uma ferramenta de recuperação de senha;
- netscan.exe, um scanner de rede.
Acredita-se que os atores da ameaça por trás da campanha tenham mirado várias empresas localizadas no Brasil, Croácia, França, Índia, Indonésia, Mongólia, Namíbia, Peru, Espanha, Suíça, Turquia e Emirados Árabes Unidos, fazendo uso de diferentes subdomínios ScreenConnect (por exemplo, infinity.screenconnect[.]com).
A Kaspersky disse que detectou tentativas adicionais de instrumentalizar a
CVE-2023-48788
em 23 de outubro de 2024, desta vez para executar um script PowerShell hospedado em um domínio webhook[.]site a fim de "coletar respostas de alvos vulneráveis" durante uma varredura de um sistema suscetível à falha.
A divulgação vem mais de oito meses depois que a empresa de cibersegurança Forescout descobriu uma campanha similar que envolvia a exploração da
CVE-2023-48788
para entregar ScreenConnect e payloads Metasploit Powerfun.
"A análise deste incidente nos ajudou a estabelecer que as técnicas atualmente usadas pelos atacantes para implantar ferramentas de acesso remoto estão constantemente sendo atualizadas e crescendo em complexidade," disseram os pesquisadores.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...