IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

سواستفاده از آسیب‌پذیری جدی Fortinet EMS برای استقرار ابزار‌های دسترسی از راه دور

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir patched forticlient ems vulnerability exploited in the wild
یک نقص امنیتی حیاتی پچ‌شده که اکنون Fortinet FortiClient EMS را تحت‌تاثیر قرار می‌دهد، توسط عوامل مخرب به‌عنوان بخشی از یک کمپین سایبری که نرم‌افزارهای ریموت دسک‌تاپ از راه دور مانند AnyDesk و ScreenConnect را نصب می‌کنند، مورد سواستفاده قرار‌گرفته است.

آسیب‌پذیری مورد‌بحث CVE-2023-48788 (امتیاز CVSS: 9.3)، یک باگ تزریق SQL است که به مهاجمان اجازه می‌دهد تا کد یا دستورات غیرمجاز را با ارسال پکت‌های داده ساخته‌شده خاص اجرا کنند.

شرکت امنیت سایبری روسی کسپرسکی گفت که حمله اکتبر 2024 سرور ویندوز یک شرکت ناشناس را هدف قرار داد که متصل به اینترنت بوده و دارای دو پورت باز مرتبط با FortiClient EMS بود.

این شرکت در تحلیل در روز پنجشنبه گفت: «شرکت مورد نظر از این فناوری استفاده می‌کند تا به‌کارمندان اجازه دهد سیاست‌های خاصی را در دستگاه‌های شرکت خود دانلود کنند و به آنها دسترسی ایمن به Fortinet VPN را بد‌هد».

تجزیه‌و‌تحلیل بیشتر این حادثه نشان داد که عوامل تهدید از CVE-2023-48788 به‌عنوان یک مسیر دسترسی اولیه استفاده کردند و متعاقبا یک فایل اجرایی ScreenConnect را برای دسترسی از راه دور به میزبان در معرض خطر حذف کردند.

کسپرسکی می‌گوید: «پس از نصب اولیه، مهاجمان شروع به آپلود payload‌های اضافی در سیستم در معرض خطر، برای شروع فعالیت‌های کشف و حرکت جانبی، مانند شمارش منابع شبکه، تلاش برای به‌دست آوردن اعتبارنامه‌ها، انجام تکنیک‌های فرار از ساختار دفاعی و ایجاد نوع دیگری از پایداری از طریق ابزار کنترل از راه دور AnyDesk کردند».

برخی از ابزار‌های قابل‌توجه دیگری که در طول حمله مستقر شده‌اند در زیر آمده‌اند:

• ابزار webbrowserpassview.exe که یک ابزار بازیابی رمز عبور است که رمز‌های عبور ذخیره شده در اینترنت اکسپلورر (نسخه 4.0 – 11.0)، موزیلا فایرفاکس (همه نسخه‌ها)، گوگل کروم، سافاری و اپرا را آشکار می‌کند.
• می‌میکاتز (Mimikatz)
• ابزار netpass64.exe، که یک ابزار بازیابی رمز عبور است.
• ابزار netscan.exe، که یک اسکنر شبکه است.

اعتقاد بر این است که عوامل تهدید پشت این کمپین شرکت‌های مختلفی را هدف قرار داده‌اند که در برزیل، کرواسی، فرانسه، هند، اندونزی، مغولستان، نامیبیا، پرو، اسپانیا، سوئیس، ترکیه و امارات متحده عربی قرار دارند. با استفاده از زیر دامنه‌های مختلف ScreenConnect (به عنوان مثال، infinity. screenconnect[.]com).

کسپرسکی گفت که در 23 اکتبر 2024 تلاش‌های بیشتری برای بهره‌برداری از CVE-2023-48788 را شناسایی کرده است، و این بار برای اجرای یک اسکریپت PowerShell میزبانی شده در دامنه webhook[.]site به‌منظور "جمع‌آوری پاسخ‌ها از اهداف آسیب‌پذیر" در طول اسکن یک سیستم مستعد نقص، استفاده گردیده است.

این افشاگری بیش از هشت ماه پس از افشای کمپین مشابهی که شرکت امنیت سایبری Forescout شامل سواستفاده از CVE-2023-48788 برای ارائه payload‌های ScreenConnect و Metasploit Powerfun بود، منتشر شد.

محققان می‌گویند: «تحلیل این حادثه به ما کمک کرد تا مشخص کنیم که تکنیک‌هایی که در حال حاضر توسط مهاجمان برای استقرار ابزار‌های دسترسی از راه دور استفاده می‌شود، دائما در حال به روز شدن و افزایش پیچیدگی هستند».

برچسب ها: Metasploit Powerfun, EMS, CVE-2023-48788, Fortinet Forticlient EMS, ScreenConnect, دسترسی از راه دور, فورتی‌نت, Mimikatz, Remote Access, AnyDesk, Fortinet VPN, Fortinet, PowerShell, cybersecurity, باگ, bug, آسیب‌پذیری, Vulnerability, جاسوسی سایبری, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news

چاپ ایمیل