Observatorio de Amenazas

Campaña activa explota vulnerabilidad de Fortinet FortiClient EMS

Escrito por Javiera González | 18-04-24

Una campaña de ciberataques activa está explotando una vulnerabilidad crítica de inyección SQL (CVE-2023-48788) en dispositivos Fortinet FortiClient EMS para implementar cargas útiles de ScreenConnect y Metasploit Powerfun.

Esta campaña, denominada "Connect:fun" por Forescout, se dirige a organizaciones que tienen dispositivos FortiClient EMS vulnerables expuestos a Internet. La explotación exitosa de esta vulnerabilidad podría permitir a los actores de amenazas ejecutar código arbitrario o comandos no autorizados en los sistemas afectados, lo que representa un riesgo significativo para la seguridad de la información.

Análisis de la campaña 

Los actores de amenaza asociados a esta campaña son desconocidos, potencialmente activos desde 2022. Se presume que los actores buscan obtener acceso a redes corporativas para robar datos confidenciales, realizar actividades de espionaje cibernético o desplegar malware adicional.

Dentro de las tácticas, técnicas y procedimientos (TTP) utilizados en esta campaña se encuentran explotación de CVE-2023-48788 para obtener acceso inicial a los dispositivos vulnerables, descarga e instalación de ScreenConnect para acceso remoto, implementación del marco Metasploit Powerfun para la ejecución de código arbitrario, establecimiento de conexiones a servidores de comando y control (C2) para exfiltrar datos y realizar actividades maliciosas.

Se recopilaron las siguientes evidencias:

  • Intentos fallidos de descargar e instalar herramientas, lo que indica un enfoque manual.
  • Tiempo significativo entre intentos de ataque.
  • Superposiciones con incidentes documentados por Palo Alto Networks Unit 42 y Blumira.

Detalles técnicos de interés 

  • Vulnerabilidad: CVE-2023-48788
  • Descripción: Inyección SQL en el componente DAS de Fortinet FortiClient EMS
  • Puntuación CVSS: 9.3 (Crítica)
  • Impacto: Ejecución de código arbitrario o comandos no autorizados
  • Plataformas afectadas: Fortinet FortiClient EMS versiones 7.0.0 a 7.2.2

Recomendaciones

  • Aplicar parches: Instale inmediatamente los parches proporcionados por Fortinet para CVE-2023-48788.
  • Monitorear el tráfico: Implemente medidas de monitoreo y detección de intrusiones para identificar actividades sospechosas que indiquen la explotación de la vulnerabilidad.
  • Fortalecer la segmentación de red: Limite la exposición de dispositivos FortiClient EMS a Internet y segmente las redes internas para contener el impacto potencial de un ataque exitoso.
  • Implementar un firewall de aplicaciones web (WAF): Configure un WAF para bloquear solicitudes maliciosas que podrían ser utilizadas para explotar la vulnerabilidad.
  • Capacitar a los empleados: Concientice a los empleados sobre los riesgos de las amenazas cibernéticas y las mejores prácticas de seguridad para proteger la información confidencial.

Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. 

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

  • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
  • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
  • Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.

¡Conoce nuestras soluciones aquí y cuida la ciberseguridad de tu organización!

Fuentes

https://thehackernews.com/2024/04/hackers-exploit-fortinet-flaw-deploy.html?m=1

https://twitter.com/cipherstorm/status/1780572234379391188

https://www.linkedin.com/posts/kevinbktan_hackers-exploit-fortinet-flaw-deploy-screenconnect-activity-7186351760616099844-Npg6/