هکرها با سوءاستفاده از آسیب‌پذیری CVE-2023-48788 در Fortinet EMS، ابزارهای دسترسی از راه دور را نصب می‌کنند

یک آسیب‌پذیری خطرناک با شناسه CVE-2023-48788 در Fortinet FortiClient EMS توسط مجرمان سایبری مورد سوءاستفاده قرار می‌گیرد. این آسیب‌پذیری که از نوع تزریق SQL است و امتیاز خطر ۹.۳ دارد، به مهاجمان اجازه می‌دهد دستورات دلخواه خود را اجرا کنند. آن‌ها از طریق این نقص امنیتی ابزارهایی مانند AnyDesk و ScreenConnect را روی سیستم‌های قربانی نصب می‌کنند. همچنین، این مشکل می‌تواند به مهاجمان دسترسی به بخش‌های دیگر شبکه و سرقت اطلاعات ورود کاربران را فراهم کند.

مجرمان سایبری با استفاده از تزریق SQL، FortiClient EMS را هدف قرار می‌دهند

یک نقص امنیتی بسیار جدی در Fortinet FortiClient EMS با شناسه CVE-2023-48788 کشف شده است. هکرها در یک حمله سایبری گسترده از این نقص سوءاستفاده می‌کنند. این آسیب‌پذیری با امتیاز خطر CVSS 9.3 ارزیابی شده است. این نقص از نوع تزریق SQL است. مهاجمان با ارسال بسته‌های اطلاعاتی خاص، می‌توانند دستورات یا کدهای مخرب را اجرا کنند. شرکت فورتینت این مشکل را برطرف کرده است. با این وجود، سیستم‌هایی که به‌روزرسانی نشده‌اند، همچنان در معرض خطر هستند.

روش‌های مشاهده شده‌ی سوءاستفاده

شرکت امنیت سایبری روسی کسپرسکی این حمله را برای اولین بار در اکتبر ۲۰۲۴ شناسایی کرد. آن‌ها حمله به سرور ویندوز یک شرکت را بررسی کردند. این سیستم، پورت‌های مربوط به FortiClient EMS را به سمت اینترنت باز گذاشته بود. همین موضوع باعث آسیب‌پذیری سیستم شده بود.

گزارش‌ها نشان می‌دهد که مهاجمان از CVE-2023-48788 به عنوان راه نفوذ اولیه استفاده کرده‌اند. آن‌ها ابزارهایی مانند ScreenConnect را برای دسترسی از راه دور به سیستم قربانی نصب کرده‌اند. پس از ورود به سیستم، مهاجمان فایل‌های مخرب بیشتری را آپلود و اجرا می‌کنند. هدف آن‌ها شناسایی سیستم، دسترسی به بخش‌های دیگر شبکه و باقی ماندن در سیستم است.

ابزارهای اصلی استفاده شده در این حمله:

• AnyDesk: ابزاری برای دسترسی و کنترل از راه دور و باقی ماندن در سیستم.
• ScreenConnect: ابزار دیگری برای دسترسی از راه دور و حفظ کنترل بر سیستم‌های آلوده.
• webbrowserpassview.exe: ابزاری برای سرقت کلمات عبور ذخیره شده در مرورگر.
• Mimikatz: ابزاری شناخته شده برای جمع‌آوری اطلاعات ورود کاربران.
• netpass64.exe: ابزاری برای بازیابی رمز عبور.
• netscan.exe: ابزاری برای اسکن شبکه و شناسایی سیستم‌ها.

این ابزارها به مهاجمان اجازه می‌دهند تا منابع شبکه را بررسی کنند، اطلاعات ورود کاربران را سرقت کنند و از شناسایی شدن جلوگیری کنند.

تأثیر و اهداف جهانی

به نظر می‌رسد این حمله بسیار سازماندهی شده است. مهاجمان شرکت‌هایی را در کشورهای مختلف، از جمله برزیل، هند، فرانسه، ترکیه، سوئیس و امارات متحده عربی هدف قرار داده‌اند. آن‌ها از زیر دامنه‌های مختلف ScreenConnect (برای مثال، infinity.screenconnect[.]com) برای مدیریت عملیات و پنهان کردن ردپای خود استفاده کرده‌اند.

سوءاستفاده‌های بیشتر شناسایی شد

در ۲۳ اکتبر ۲۰۲۴، کاسپرسکی موج دوم تلاش‌ها برای سوءاستفاده از همان آسیب‌پذیری را شناسایی کرد. این بار، مهاجمان یک اسکریپت پاورشل (PowerShell) را از طریق یک دامنه مخرب (webhook[.]site) اجرا می‌کردند. هدف آن‌ها جمع‌آوری اطلاعات از سیستم‌های آسیب‌پذیر در حین اسکن بود.

حملات قبلی، تاکتیک‌های مشابهی را نشان می‌دهند

جالب است که این اولین بار نیست که از CVE-2023-48788 سوءاستفاده می‌شود. پیش از این، شرکت امنیت سایبری Forescout حمله مشابهی را کشف کرده بود. در آن حمله نیز از همین آسیب‌پذیری برای نصب Metasploit Powerfun و ScreenConnect استفاده شده بود. این موارد، پیچیدگی و تغییر مداوم روش‌های مهاجمان را نشان می‌دهد.

نکات کلیدی برای شرکت‌ها

سوءاستفاده از CVE-2023-48788 نشان می‌دهد که به‌روزرسانی به‌موقع سیستم‌ها و رعایت اصول امنیتی قوی چقدر اهمیت دارد. آسیب‌پذیری‌ها در نرم‌افزارهای پرکاربرد سازمانی مانند Fortinet FortiClient EMS می‌توانند راه نفوذ برای حملات پیچیده‌ای باشند که خسارات زیادی به بار می‌آورند.

اقدامات عملی:

1. سیستم‌ها را فوراً به‌روزرسانی کنید: مطمئن شوید که تمام محصولات فورتینت با آخرین به‌روزرسانی‌های امنیتی به‌روز شده‌اند تا آسیب‌پذیری‌های شناخته شده برطرف شوند.
2. پورت‌های باز را بررسی کنید: به طور منظم سیستم‌های متصل به اینترنت را بررسی کنید تا پورت‌های باز که می‌توانند راه نفوذ باشند، شناسایی و امن شوند.
3. از سیستم‌های حفاظتی استفاده کنید: از ابزارهای امنیتی پیشرفته برای شناسایی و مسدود کردن ابزارهای مخرب مانند Mimikatz و ScreenConnect استفاده کنید.
4. ارزیابی‌های امنیتی منظم انجام دهید: تست نفوذ منظم می‌تواند آسیب‌پذیری‌ها را قبل از سوءاستفاده مهاجمان شناسایی و برطرف کند.

کاربران فورتینت باید سریعاً برای ایمن‌سازی سیستم‌های خود اقدام کنند. آن‌ها باید هرگونه نشانه‌ای از سوءاستفاده را بررسی کنند تا از حملات بعدی جلوگیری شود. از آنجایی که مهاجمان همواره روش‌های خود را تغییر می‌دهند، هوشیاری و آمادگی برای حفاظت از شبکه‌های سازمانی ضروری است.

اگر به خواندن کامل این مطلب علاقه‌مندید، روی لینک مقابل کلیک کنید: the hacker news