Hackers Exploram Falha na Fortinet para Inserir ScreenConnect e Metasploit em Nova Campanha de Ataques
17 de Abril de 2024

Pesquisadores de cibersegurança descobriram uma nova campanha que está explorando uma falha de segurança recentemente divulgada em dispositivos Fortinet FortiClient EMS para entregar payloads do ScreenConnect e do Metasploit Powerfun.

A atividade envolve a exploração da CVE-2023-48788 (pontuação CVSS: 9.3), uma falha crítica de injeção SQL que poderia permitir a um atacante não autenticado executar código ou comandos não autorizados por meio de solicitações especificamente elaboradas.

A empresa de cibersegurança Forescout está monitorando a campanha sob o codinome Connect:fun, devido ao uso de ScreenConnect e Powerfun para pós-exploração.

A intrusão visou uma empresa de mídia não nomeada que teve seu dispositivo FortiClient EMS vulnerável exposto à internet pouco depois da divulgação de um exploit de prova de conceito (PoC) para a falha em 21 de março de 2024.

Nos dias seguintes, o adversário desconhecido foi observado aproveitando a falha para tentar baixar o ScreenConnect sem sucesso e, em seguida, instalar o software de desktop remoto usando a utilidade msiexec.

No entanto, em 25 de março, o exploit PoC foi usado para iniciar um código PowerShell que baixou o script Powerfun do Metasploit e iniciou uma conexão reversa para outro endereço IP.

Também foram detectadas instruções SQL projetadas para baixar o ScreenConnect de um domínio remoto ("ursketz[.]com") usando certutil, que então foi instalado via msiexec antes de estabelecer conexões com um servidor de comando e controle (C2).

Há evidências que sugerem que o ator de ameaça por trás disso tem sido ativo desde pelo menos 2022, visando especificamente aparelhos da Fortinet e usando idiomas vietnamita e alemão em sua infraestrutura.

"A atividade observada claramente tem um componente manual, evidenciado por todas as tentativas fracassadas de baixar e instalar ferramentas, bem como o tempo relativamente longo tomado entre tentativas", disse o pesquisador de segurança Sai Molige.

"Isso é uma evidência de que essa atividade faz parte de uma campanha específica, em vez de um exploit incluído em botnets de cibercriminosos automatizados.De nossas observações, parece que os atores por trás desta campanha não estão fazendo varreduras massivas, mas escolhendo ambientes-alvo que possuem aparelhos VPN."

A Forescout disse que o ataque compartilha sobreposições táticas e de infraestrutura com outros incidentes documentados pela Palo Alto Networks Unit 42 e Blumira em março de 2024 que envolvem o abuso da CVE-2023-48788 para baixar o ScreenConnect e Atera.

Organizações são recomendadas a aplicar patches fornecidos pela Fortinet para lidar com possíveis ameaças, monitorar tráfego suspeito e usar um firewall de aplicação web (WAF) para bloquear solicitações potencialmente maliciosas.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...