Μια κρίσιμη ευπάθεια ασφαλείας που επηρεάζει το Fortinet FortiClient EMS και πλέον έχει διορθωθεί, χρησιμοποιείται από κακόβουλους hackers για την εγκατάσταση λογισμικού απομακρυσμένης πρόσβασης (π.χ. AnyDesk και ScreenConnect) σε συσκευές-στόχους.
Πρόκειται για την ευπάθεια CVE-2023-48788 (βαθμολογία CVSS: 9.3), μια SQL injection ευπάθεια που επιτρέπει στους εισβολείς να εκτελούν μη εξουσιοδοτημένο κώδικα ή εντολές στέλνοντας ειδικά δημιουργημένα πακέτα δεδομένων.
Η Kaspersky εντόπισε την κακόβουλη δραστηριότητα και είπε ότι τον Οκτώβριο οι hackers στόχευσαν τον Windows server μιας ανώνυμης εταιρείας που ήταν εκτεθειμένος στο Διαδίκτυο και είχε δύο ανοιχτές θύρες που συνδέονταν με το Fortinet FortiClient EMS.
Δείτε επίσης: Ευπάθειες της Fortinet επιτρέπουν σε hackers την απομακρυσμένη εκτέλεση κώδικα
Νέα εικόνα: Πώς ο Κρόνος κρύφτηκε πίσω από το φεγγάρι!
Βόρεια Κορέα: Κλάπηκαν crypto αξίας $ 659 εκατ. το 2024
Το TikTok ετοιμάζεται για κλείσιμο στις ΗΠΑ την Κυριακή;
«Η στοχευμένη εταιρεία χρησιμοποιεί αυτήν την τεχνολογία για να επιτρέπει στους υπαλλήλους να κατεβάζουν συγκεκριμένες πολιτικές στις εταιρικές τους συσκευές, παρέχοντάς τους ασφαλή πρόσβαση στο Fortinet VPN», ανέφερε η εταιρεία.
Περαιτέρω ανάλυση της επίθεσης έδειξε ότι οι επιτιθέμενοι εκμεταλλεύτηκαν την ευπάθεια CVE-2023-48788 για να αποκτήσουν αρχική πρόσβαση, εγκαθιστώντας στη συνέχεια ένα εκτελέσιμο ScreenConnect για να αποκτήσουν απομακρυσμένη πρόσβαση στον παραβιασμένο υπολογιστή.
«Μετά την αρχική εγκατάσταση, οι επιτιθέμενοι άρχισαν να ανεβάζουν πρόσθετα payloads στο παραβιασμένο σύστημα, για να ξεκινήσουν δραστηριότητες lateral movement και να εξερευνήσουν τους πόρους δικτύου, να αποκτήσουν credentials, να εκτελέσουν τεχνικές για αποφυγή της άμυνας και να δημιουργήσουν persistence μέσω του εργαλείου απομακρυσμένης πρόσβασης AnyDesk», είπε η Kaspersky.
Επίσης, εντοπίστηκαν και κάποια άλλα εργαλεία σε αυτή την επίθεση:
- webbrowserpassview.exe : ένα εργαλείο ανάκτησης κωδικών πρόσβασης που αποκαλύπτει κωδικούς που είναι αποθηκευμένοι στον Internet Explorer (έκδοση 4.0 – 11.0), στο Mozilla Firefox (όλες οι εκδόσεις) και στα Google Chrome, Safari και Opera
- Mimikatz : ένα εργαλείο που εξάγει κωδικούς πρόσβασης που είναι αποθηκευμένοι
- netpass64.exe : ένα εργαλείο ανάκτησης κωδικών πρόσβασης
- netscan.exe : ένας σαρωτής δικτύου
Δείτε επίσης: Το DEEPDATA framework εκμεταλλεύεται ευπάθεια Fortinet για κλοπή VPN credentials
Οι επιτιθέμενοι πιστεύεται ότι στόχευσαν διάφορες εταιρείες στη Βραζιλία, την Κροατία, τη Γαλλία, την Ινδία, την Ινδονησία, τη Μογγολία, τη Ναμίμπια, το Περού, την Ισπανία, την Ελβετία, την Τουρκία και τα Ηνωμένα Αραβικά Εμιράτα, κάνοντας χρήση διαφορετικών ScreenConnect subdomains (π.χ. infinity.screenconnect[.]com).
Η Kaspersky είπε ότι εντόπισε περαιτέρω προσπάθειες εκμετάλλευσης της ευπάθειας Fortinet CVE-2023-48788 στις 23 Οκτωβρίου 2024. Αυτή τη φορά, έγινε προσπάθεια εκμετάλλευσης ενός PowerShell script που φιλοξενείται σε ένα webhook[.]site domain προκειμένου να “συλλέξει απαντήσεις από ευάλωτους στόχους” κατά τη διάρκεια μιας σάρωσης ενός συστήματος που είναι ευάλωτο στο σφάλμα.
Τα παραπάνω δείχνουν ότι η εφαρμογή των πιο πρόσφατων ενημερώσεων είναι κρίσιμη για την ασφάλεια των συστημάτων. Η μη εφαρμογή των επιδιορθώσεων της Fortinet επιτρέπει σε επιτιθέμενους να εκμεταλλευτούν τις ευπάθειες για να προκαλέσουν ζημιά ή να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα.
Επιπλέον, η μη εφαρμογή ενημερώσεων θα μπορούσε ενδεχομένως να επηρεάσει τη λειτουργία του συστήματος. Οι επιθέσεις που εκμεταλλεύονται τις αδυναμίες μπορεί να προκαλέσουν σοβαρές διαταραχές, που μπορεί να περιλαμβάνουν την απώλεια δεδομένων ή την αδυναμία πρόσβασης στις υπηρεσίες.
Δείτε επίσης: Fortinet: Ευπάθεια στο FortiManager χρησιμοποιήθηκε σε επιθέσεις
Πέρα από την ενημέρωση του FortiClient EMS, είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης για τους λογαριασμούς διαχείρισης. Αυτό μπορεί να βοηθήσει στην πρόληψη της παραβίασης των λογαριασμών από επιθέσεις brute force ή επιθέσεις dictionary.
Η χρήση ενός συστήματος προστασίας από εισβολές (IPS) μπορεί, επίσης, να βοηθήσει στην ανίχνευση και την αποτροπή των επιθέσεων RCE. Τα συστήματα IPS παρακολουθούν το δίκτυο για ύποπτη δραστηριότητα και μπορούν να μπλοκάρουν την επικοινωνία από και προς διευθύνσεις IP που είναι γνωστό ότι εμπλέκονται σε επιθέσεις RCE.
Τέλος, η εφαρμογή των αρχών της ελάχιστης πρόσβασης (Least Privilege) μπορεί να μειώσει την πιθανότητα επιτυχούς επίθεσης RCE. Αυτό σημαίνει ότι οι χρήστες και οι διαχειριστές πρέπει να έχουν μόνο τα προνόμια που χρειάζονται για να εκτελέσουν τα καθήκοντά τους και όχι περισσότερα.
Πηγή: thehackernews.com