Fortinet FortiClient EMS’yi etkileyen, yamalanmış kritik bir güvenlik açığı, AnyDesk ve ScreenConnect gibi uzak masaüstü yazılımlarının yüklendiği bir siber kampanyanın parçası olarak kötü niyetli aktörler tarafından istismar ediliyor.
Söz konusu güvenlik açığı, saldırganların özel hazırlanmış veri paketleri göndererek yetkisiz kod veya komutlar yürütmesine olanak tanıyan bir SQL enjeksiyon hatası olan CVE-2023-48788’dir (CVSS puanı: 9.3).
Rus siber güvenlik firması Kaspersky, Ekim 2024’teki saldırının isimsiz bir şirketin internete açık olan ve FortiClient EMS ile ilişkili iki açık bağlantı noktasına sahip Windows sunucusunu hedef aldığını söyledi.
“Hedeflenen şirket, çalışanların kurumsal cihazlarına belirli politikaları indirmelerine olanak sağlamak ve onlara Fortinet VPN’e güvenli erişim sağlamak için bu teknolojiyi kullanıyor.” söz konusu Perşembe analizinde.
Olayın daha ayrıntılı analizi, tehdit aktörlerinin ilk erişim vektörü olarak CVE-2023-48788’den yararlandığını ve ardından ele geçirilen ana bilgisayara uzaktan erişim elde etmek için ScreenConnect çalıştırılabilir dosyasını bıraktıklarını ortaya çıkardı.
“İlk kurulumun ardından saldırganlar, ağ kaynaklarını numaralandırmak, kimlik bilgileri almaya çalışmak, savunmadan kaçınma teknikleri uygulamak ve ağ üzerinden başka bir kalıcılık türü oluşturmak gibi keşif ve yanal hareket faaliyetlerine başlamak için ele geçirilen sisteme ek yükler yüklemeye başladı. AnyDesk uzaktan kumanda aracı,” dedi Kaspersky.
Saldırı sırasında düşürülen diğer önemli araçlardan bazıları aşağıda listelenmiştir:
- webbrowserpassview.exe, Internet Explorer (sürüm 4.0 – 11.0), Mozilla Firefox (tüm sürümler), Google Chrome, Safari ve Opera’da saklanan şifreleri ortaya çıkaran bir şifre kurtarma aracıdır
- Mimikatz
- netpass64.exe, bir şifre kurtarma aracı
- netscan.exe, bir ağ tarayıcısı
Kampanyanın arkasındaki tehdit aktörlerinin, farklı ScreenConnect alt alan adlarını (örn. sonsuz.ekran bağlantısı[.]com).
Kaspersky, 23 Ekim 2024’te CVE-2023-48788’i silah haline getirmeye yönelik başka girişimlerin de tespit edildiğini, bu sefer bir web kancasında barındırılan bir PowerShell betiğinin çalıştırıldığını tespit ettiğini söyledi.[.]Kusura duyarlı bir sistemin taranması sırasında “savunmasız hedeflerden yanıt toplamak” için site etki alanı.
Açıklama, siber güvenlik şirketi Forescout’un, ScreenConnect ve Metasploit Powerfun veri yüklerini sağlamak için CVE-2023-48788’den yararlanmayı içeren benzer bir kampanyayı ortaya çıkarmasından sekiz aydan fazla bir süre sonra geldi.
Araştırmacılar, “Bu olayın analizi, saldırganların uzaktan erişim araçlarını dağıtmak için halihazırda kullandıkları tekniklerin sürekli olarak güncellendiğini ve karmaşıklığının arttığını tespit etmemize yardımcı oldu” dedi.
