Una campaña de ciberataques activa está explotando una vulnerabilidad crítica de inyección SQL (CVE-2023-48788) en dispositivos Fortinet FortiClient EMS para implementar cargas útiles de ScreenConnect y Metasploit Powerfun.
Esta campaña, denominada "Connect:fun" por Forescout, se dirige a organizaciones que tienen dispositivos FortiClient EMS vulnerables expuestos a Internet. La explotación exitosa de esta vulnerabilidad podría permitir a los actores de amenazas ejecutar código arbitrario o comandos no autorizados en los sistemas afectados, lo que representa un riesgo significativo para la seguridad de la información.
Análisis de la campaña
Los actores de amenaza asociados a esta campaña son desconocidos, potencialmente activos desde 2022. Se presume que los actores buscan obtener acceso a redes corporativas para robar datos confidenciales, realizar actividades de espionaje cibernético o desplegar malware adicional.
Dentro de las tácticas, técnicas y procedimientos (TTP) utilizados en esta campaña se encuentran explotación de CVE-2023-48788 para obtener acceso inicial a los dispositivos vulnerables, descarga e instalación de ScreenConnect para acceso remoto, implementación del marco Metasploit Powerfun para la ejecución de código arbitrario, establecimiento de conexiones a servidores de comando y control (C2) para exfiltrar datos y realizar actividades maliciosas.
Se recopilaron las siguientes evidencias:
- Intentos fallidos de descargar e instalar herramientas, lo que indica un enfoque manual.
- Tiempo significativo entre intentos de ataque.
- Superposiciones con incidentes documentados por Palo Alto Networks Unit 42 y Blumira.
Detalles técnicos de interés
- Vulnerabilidad: CVE-2023-48788
- Descripción: Inyección SQL en el componente DAS de Fortinet FortiClient EMS
- Puntuación CVSS: 9.3 (Crítica)
- Impacto: Ejecución de código arbitrario o comandos no autorizados
- Plataformas afectadas: Fortinet FortiClient EMS versiones 7.0.0 a 7.2.2
Recomendaciones
- Aplicar parches: Instale inmediatamente los parches proporcionados por Fortinet para CVE-2023-48788.
- Monitorear el tráfico: Implemente medidas de monitoreo y detección de intrusiones para identificar actividades sospechosas que indiquen la explotación de la vulnerabilidad.
- Fortalecer la segmentación de red: Limite la exposición de dispositivos FortiClient EMS a Internet y segmente las redes internas para contener el impacto potencial de un ataque exitoso.
- Implementar un firewall de aplicaciones web (WAF): Configure un WAF para bloquear solicitudes maliciosas que podrían ser utilizadas para explotar la vulnerabilidad.
- Capacitar a los empleados: Concientice a los empleados sobre los riesgos de las amenazas cibernéticas y las mejores prácticas de seguridad para proteger la información confidencial.
Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa.
¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
- Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
- Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
- Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.
¡Conoce nuestras soluciones aquí y cuida la ciberseguridad de tu organización!
Fuentes
https://thehackernews.com/2024/04/hackers-exploit-fortinet-flaw-deploy.html?m=1
https://twitter.com/cipherstorm/status/1780572234379391188
https://www.linkedin.com/posts/kevinbktan_hackers-exploit-fortinet-flaw-deploy-screenconnect-activity-7186351760616099844-Npg6/