Fortinet EMS sérülékenység aktív kihasználás alatt (CVE-2023-48788)
A Fortinet FortiClient EMS-t érintő már javított kritikus biztonsági hibát rosszindulatú szereplők kihasználják egy olyan kiberkampány részeként, amely során távoli asztali szoftvereket, például az AnyDesk-et és a ScreenConnect-et telepítenek. A sebezhetőség a CVE-2023-48788 (CVSS score: 9.3), egy SQL-injection hiba, amely lehetővé teszi a támadók számára, hogy jogosulatlan kódot vagy parancsokat hajtsanak végre speciálisan kialakított adatcsomagok küldésével. Az Kaspersky szerint a 2024. októberi támadás egy meg nem nevezett vállalat Windows szerverét vette célba, amely az Internet felől elérhető volt két nyitott porttal a FortiClient EMS-hez kapcsolódóan. Az incidens további elemzéséből kiderült, hogy a kiberszereplők a CVE-2023-48788-at használták ki kezdeti hozzáférési vektorként, majd egy ScreenConnect futtatható programot helyeztek el a rendszeren, hogy távoli hozzáférést szerezzenek a megtámadott rendszerhez. A kezdeti telepítés után a támadók további hasznos terheléseket kezdtek feltölteni a kompromittált rendszerre, hogy megkezdjék a feltérképezést és oldalirányú mozgási tevékenységeket, például a hálózati erőforrások enumerálását, a hitelesítő adatok megszerzésének kísérletét, védelmi kitérési technikák végrehajtását, valamint perzisztencia létrehozását.
A CVE-2023-48788 sérülékenység folyamatosan aktív kihasználás alatt áll. Például 2024. szeptemberben nyilvánosságra került kampányban a Medusa ransomware ezen a sérülékenységén keresztül jutott be a célrendszerekbe.
