
Una falla de seguridad crítica ahora parcheada que afecta a Fortinet FortiClient EMS está siendo explotada por actores maliciosos como parte de una campaña cibernética que instaló software de escritorio remoto como AnyDesk y ScreenConnect.
La vulnerabilidad en cuestión es CVE-2023-48788 (puntuación CVSS: 9,3), un error de inyección SQL que permite a los atacantes ejecutar código o comandos no autorizados mediante el envío de paquetes de datos especialmente diseñados.
La empresa rusa de ciberseguridad Kaspersky dijo que el ataque de octubre de 2024 tuvo como objetivo el servidor Windows de una empresa anónima que estaba expuesto a Internet y tenía dos puertos abiertos asociados con FortiClient EMS.
“La empresa objetivo emplea esta tecnología para permitir a los empleados descargar políticas específicas a sus dispositivos corporativos, otorgándoles acceso seguro a la VPN de Fortinet”, dicho en un análisis del jueves.
Un análisis más detallado del incidente encontró que los actores de amenazas aprovecharon CVE-2023-48788 como vector de acceso inicial y posteriormente eliminaron un ejecutable de ScreenConnect para obtener acceso remoto al host comprometido.
“Después de la instalación inicial, los atacantes comenzaron a cargar cargas útiles adicionales en el sistema comprometido, para comenzar actividades de descubrimiento y movimiento lateral, como enumerar recursos de red, intentar obtener credenciales, realizar técnicas de evasión de defensa y generar otro tipo de persistencia a través de la herramienta de control remoto AnyDesk”, afirmó Kaspersky.
Algunas de las otras herramientas notables que se eliminaron durante el ataque se enumeran a continuación:
- webbrowserpassview.exe, una herramienta de recuperación de contraseñas que revela las contraseñas almacenadas en Internet Explorer (versión 4.0 – 11.0), Mozilla Firefox (todas las versiones), Google Chrome, Safari y Opera.
- Mimikatz
- netpass64.exe, una herramienta de recuperación de contraseña
- netscan.exe, un escáner de red
Se cree que los actores de amenazas detrás de la campaña se dirigieron a varias empresas ubicadas en Brasil, Croacia, Francia, India, Indonesia, Mongolia, Namibia, Perú, España, Suiza, Turquía y los Emiratos Árabes Unidos mediante el uso de diferentes subdominios de ScreenConnect (por ejemplo, infinity.screenconnect[.]com).
Kaspersky dijo que detectó más intentos de convertir CVE-2023-48788 en un arma el 23 de octubre de 2024, esta vez para ejecutar un script de PowerShell alojado en un webhook.[.]dominio del sitio para “recopilar respuestas de objetivos vulnerables” durante un escaneo de un sistema susceptible a la falla.
La divulgación se produce más de ocho meses después de que la empresa de ciberseguridad Forescout descubriera una campaña similar que implicaba explotar CVE-2023-48788 para entregar cargas útiles ScreenConnect y Metasploit Powerfun.
“El análisis de este incidente nos ayudó a establecer que las técnicas utilizadas actualmente por los atacantes para implementar herramientas de acceso remoto se actualizan constantemente y crecen en complejidad”, dijeron los investigadores.





