Recentemente, una vulnerabilità critica che colpisce Fortinet FortiClient EMS è stata sfruttata da attori malevoli in una campagna informatica per installare software di desktop remoto come AnyDesk e ScreenConnect. Questa falla, identificata come CVE-2023-48788, ha un punteggio CVSS di 9.3 e rappresenta un bug di iniezione SQL che permette agli attaccanti di eseguire codice o comandi non autorizzati inviando pacchetti di dati appositamente creati.

Secondo l’azienda di cybersecurity russa Kaspersky, l'attacco di ottobre 2024 ha preso di mira un server Windows di un'azienda non specificata, esposto a internet con due porte aperte associate a FortiClient EMS. L’azienda utilizza questa tecnologia per permettere ai dipendenti di scaricare specifiche policy sui loro dispositivi aziendali, garantendo un accesso sicuro alla VPN Fortinet.

L'analisi dell'incidente ha rivelato che gli attori della minaccia hanno sfruttato la CVE-2023-48788 come vettore di accesso iniziale, successivamente caricando un eseguibile ScreenConnect per ottenere l'accesso remoto all'host compromesso. Dopo l'installazione iniziale, gli attaccanti hanno iniziato a caricare ulteriori payload nel sistema compromesso per avviare attività di scoperta e movimento laterale, come l'enumerazione delle risorse di rete, il tentativo di ottenere credenziali, l'esecuzione di tecniche di evasione della difesa e la generazione di ulteriore persistenza tramite lo strumento di controllo remoto AnyDesk.

Tra gli strumenti notevoli utilizzati durante l'attacco vi sono:

• webbrowserpassview.exe, un tool per il recupero di password memorizzate in vari browser;
• Mimikatz;
• netpass64.exe, un altro strumento di recupero password;
• netscan.exe, un scanner di rete.

Gli attori della minaccia dietro la campagna sono creduti aver preso di mira varie aziende situate in Brasile, Croazia, Francia, India, Indonesia, Mongolia, Namibia, Perù, Spagna, Svizzera, Turchia e negli Emirati Arabi Uniti, utilizzando diversi sottodomini di ScreenConnect.

Kaspersky ha rilevato ulteriori tentativi di sfruttare la CVE-2023-48788 il 23 ottobre 2024, questa volta per eseguire uno script PowerShell ospitato su un dominio webhook[.]site per raccogliere risposte da bersagli vulnerabili durante una scansione di un sistema suscettibile alla falla.

Questa scoperta arriva oltre otto mesi dopo che l’azienda di cybersecurity Forescout ha scoperto una campagna simile che sfruttava la CVE-2023-48788 per distribuire payload di ScreenConnect e Metasploit Powerfun. L'analisi di questo incidente ha aiutato a stabilire che le tecniche attualmente utilizzate dagli attaccanti per distribuire strumenti di accesso remoto sono in continua evoluzione e sempre più complesse.