黑客利用 Fortinet EMS 的关键漏洞部署远程访问工具

阅读量14266

发布时间 : 2024-12-24 10:46:09

x
译文声明

本文是翻译文章,文章原作者 Ravie Lakshmanan,文章来源:TheHackersNews

原文地址:https://thehackernews.com/2024/12/hackers-exploiting-critical-fortinet.html

译文仅供参考,具体内容表达以及含义原文为准。

在安装 AnyDesk 和 ScreenConnect 等远程桌面软件的网络攻击活动中,恶意攻击者正在利用一个已修补的影响 Fortinet FortiClient EMS 的重要安全漏洞。

该漏洞是CVE-2023-48788(CVSS评分:9.3),是一个SQL注入漏洞,允许攻击者通过发送特制数据包执行未经授权的代码或命令。

俄罗斯网络安全公司卡巴斯基(Kaspersky)称,2024 年 10 月的这次攻击针对的是一家未具名公司的 Windows 服务器,该服务器暴露在互联网上,并且有两个与 FortiClient EMS 相关的开放端口。

该公司在周四的一份分析报告中说:“目标公司采用了这项技术,允许员工将特定策略下载到他们的公司设备上,使他们能够安全地访问 Fortinet VPN。”

对该事件的进一步分析发现,威胁行为者利用 CVE-2023-48788 作为初始访问载体,随后投放 ScreenConnect 可执行文件,以获取对受攻击主机的远程访问权限。

卡巴斯基说:“在初始安装之后,攻击者开始向被入侵系统上传额外的有效载荷,以开始发现和横向移动活动,如枚举网络资源、试图获取凭证、执行防御规避技术,以及通过 AnyDesk 远程控制工具生成更多类型的持久性。”

下面列出了在攻击过程中投放的其他一些值得注意的工具–Webbrowserpassview.exe。

  • webbrowserpassview.exe,这是一款密码恢复工具,可揭示存储在 Internet Explorer(4.0 – 11.0 版)、Mozilla Firefox(所有版本)、谷歌浏览器、Safari 和 Opera 中的密码。
  • Mimikatz
  • netpass64.exe,密码恢复工具
  • netscan.exe,网络扫描器

据信,幕后的威胁分子利用不同的 ScreenConnect 子域名(如 infinity.screenconnect[.]com),将巴西、克罗地亚、法国、印度、印度尼西亚、蒙古、纳米比亚、秘鲁、西班牙、瑞士、土耳其和阿联酋的多家公司作为攻击目标。

卡巴斯基说,它在 2024 年 10 月 23 日检测到了将 CVE-2023-48788 武器化的进一步尝试,这次是在扫描易受该漏洞影响的系统时,执行托管在 webhook[.]site 域上的 PowerShell 脚本,以 “收集来自易受攻击目标的响应”。

网络安全公司 Forescout 在八个多月前发现了一个类似的活动,利用 CVE-2023-48788 发送 ScreenConnect 和 Metasploit Powerfun 有效载荷。

研究人员说:“对这一事件的分析帮助我们确定,攻击者目前用于部署远程访问工具的技术在不断更新,复杂性也在不断增加。”

本文翻译自TheHackersNews 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66