Een nu gepatcht kritiek beveiligingslek dat gevolgen heeft voor Fortinet FortiClient EMS, wordt uitgebuit door kwaadwillende actoren als onderdeel van een cybercampagne waarbij externe desktopsoftware zoals AnyDesk en ScreenConnect werd geïnstalleerd.
De kwetsbaarheid in kwestie is CVE-2023-48788 (CVSS-score: 9,3), een SQL-injectiebug waarmee aanvallers ongeautoriseerde code of opdrachten kunnen uitvoeren door speciaal vervaardigde datapakketten te verzenden.
Het Russische cyberbeveiligingsbedrijf Kaspersky zei dat de aanval van oktober 2024 gericht was op de Windows-server van een niet nader genoemd bedrijf die was blootgesteld aan internet en twee open poorten had die waren gekoppeld aan FortiClient EMS.
“Het beoogde bedrijf gebruikt deze technologie om werknemers in staat te stellen specifiek beleid naar hun bedrijfsapparaten te downloaden, waardoor ze veilige toegang krijgen tot de Fortinet VPN”, aldus een analyse van donderdag.
Uit verdere analyse van het incident bleek dat de dreigingsactoren misbruik maakten van CVE-2023-48788 als initiële toegangsvector, en vervolgens een uitvoerbaar ScreenConnect-bestand lieten vallen om externe toegang tot de getroffen host te verkrijgen.
“Na de eerste installatie begonnen de aanvallers extra ladingen naar het gecompromitteerde systeem te uploaden, om ontdekkings- en laterale verplaatsingsactiviteiten te beginnen, zoals het opsommen van netwerkbronnen, het proberen om inloggegevens te verkrijgen, technieken voor verdedigingsontduiking uit te voeren en een ander soort persistentie te genereren via de AnyDesk-tool voor afstandsbediening”, aldus Kaspersky.
Enkele van de andere opmerkelijke tools die tijdens de aanval zijn verwijderd, worden hieronder vermeld:
- webbrowserpassview.exe, een tool voor wachtwoordherstel die wachtwoorden onthult die zijn opgeslagen in Internet Explorer (versie 4.0 – 11.0), Mozilla Firefox (alle versies), Google Chrome, Safari en Opera
- Mimikatz
- netpass64.exe, een hulpprogramma voor wachtwoordherstel
- netscan.exe, een netwerkscanner
Er wordt aangenomen dat de dreigingsactoren achter de campagne zich hebben gericht op verschillende bedrijven in Brazilië, Kroatië, Frankrijk, India, Indonesië, Mongolië, Namibië, Peru, Spanje, Zwitserland, Turkije en de VAE door gebruik te maken van verschillende ScreenConnect-subdomeinen (bijv. oneindig.screenconnect(.)com).
Kaspersky zei dat het op 23 oktober 2024 verdere pogingen heeft gedetecteerd om CVE-2023-48788 te bewapenen, dit keer om een PowerShell-script uit te voeren dat wordt gehost op een webhook(.)site-domein om “reacties te verzamelen van kwetsbare doelen” tijdens een scan van een systeem dat gevoelig is voor de fout.
De onthulling komt meer dan acht maanden nadat cyberbeveiligingsbedrijf Forescout een soortgelijke campagne aan het licht bracht waarbij gebruik werd gemaakt van CVE-2023-48788 om ScreenConnect- en Metasploit Powerfun-payloads te leveren.
“De analyse van dit incident heeft ons geholpen vast te stellen dat de technieken die momenteel door de aanvallers worden gebruikt om tools voor externe toegang in te zetten, voortdurend worden bijgewerkt en in complexiteit toenemen”, aldus de onderzoekers.