Krytyczna podatność w zabezpieczeniach Fortinet FortiClient EMS, obecnie już załatana, stała się celem cyberprzestępców, którzy wykorzystali ją do uruchomienia złośliwej kampanii instalującej oprogramowanie zdalnego pulpitu, takie jak AnyDesk i ScreenConnect.
Jądrem problemu jest luka CVE-2023-48788, która uzyskała ocenę CVSS 9.3. Jest to luka typu SQL injection, umożliwiająca atakującym wykonanie nieautoryzowanego kodu lub poleceń poprzez wysłanie odpowiednio spreparowanych pakietów danych. Tego rodzaju ataki mogą mieć bardzo poważne konsekwencje, w tym uzyskiwanie dostępu do systemów firmowych i danych użytkowników, co czyni tę podatność szczególnie niebezpieczną.
Firma Kaspersky poinformowała o incydencie z października 2024 roku, który dotyczył serwera Windows należącego do nieujawnionej firmy. Serwer ten był dostępny przez internet i miał otwarte dwa porty powiązane z FortiClient EMS, co uczyniło go łatwym celem dla atakujących. Według raportu, firma korzystała z tej technologii w celu zapewnienia pracownikom możliwości pobierania dedykowanych polityk do urządzeń firmowych, umożliwiając im bezpieczny dostęp do VPN Fortinet.
Szczegółowa analiza zdarzenia wykazała, że cyberprzestępcy wykorzystali CVE-2023-48788 jako początkowy wektor ataku. Następnie za pomocą tej luki wprowadzili plik wykonywalny ScreenConnect, co pozwoliło im na zdalny dostęp do przejętego hosta. Było to jednak dopiero pierwsze stadium ataku, które później rozwinęło się w bardziej złożony ciąg działań, mających na celu przejęcie pełnej kontroli nad systemem.
Po instalacji podstawowego narzędzia zdalnego dostępu, napastnicy zaczęli przesyłać na zaatakowany system dodatkowe złośliwe oprogramowanie. Działania te obejmowały eksplorację zasobów sieciowych, próbę wykradania danych uwierzytelniających, unikanie mechanizmów obronnych oraz generowanie nowych metod zapewnienia trwałego dostępu do systemu, takich jak AnyDesk. Złośliwi aktorzy wykorzystywali różne zaawansowane techniki w celu zwiększenia swojej obecności na zaatakowanym systemie i przejęcia pełnej kontroli.
W trakcie ataku cyberprzestępcy użyli także dodatkowych narzędzi, w tym:
- webbrowserpassview.exe: narzędzie do odzyskiwania haseł zapisanych w przeglądarkach, takich jak Internet Explorer, Mozilla Firefox, Google Chrome, Safari i Opera.
- Mimikatz: znane narzędzie używane do przechwytywania danych uwierzytelniających z pamięci.
- netpass64.exe: narzędzie do odzyskiwania haseł.
- netscan.exe: skaner sieciowy umożliwiający mapowanie zasobów sieciowych.
Atak wymierzony był w różne firmy w krajach takich jak Brazylia, Chorwacja, Francja, Indie, Indonezja, Mongolia, Namibia, Peru, Hiszpania, Szwajcaria, Turcja i Zjednoczone Emiraty Arabskie. Do przeprowadzenia ataku wykorzystano różne subdomeny ScreenConnect, takie jak infinity.screenconnect[.]com. Fakt ten pokazuje, że incydent miał charakter globalny i dotknął wielu przedsiębiorstw w różnych częściach świata.
Kaspersky poinformował również o kolejnych próbach wykorzystania luki CVE-2023-48788, które wykryto 23 października 2024 roku. Tym razem cyberprzestępcy próbowali uruchomić skrypt PowerShell hostowany na domenie webhook[.]site, aby zbierać odpowiedzi z podatnych systemów podczas skanowania luk. To pokazuje, że metoda ataku została szybko rozwinięta i dostosowana do nowych warunków, co tylko podkreśla stopień zaawansowania i determinacji napastników.
Warto przypomnieć, że ponad osiem miesięcy wcześniej, firma Forescout odkryła podobną kampanię, podczas której wykorzystano CVE-2023-48788 w celu dostarczenia narzędzi takich jak ScreenConnect i ładunki Metasploit Powerfun. Wyniki tych analiz jasno wskazują, że techniki stosowane przez cyberprzestępców są nieustannie rozwijane i komplikowane, co sprawia, że ochrona przed tego typu zagrożeniami wymaga szczególnej czujności oraz regularnych aktualizacji oprogramowania.