Cacat keamanan kritis yang kini telah ditambal yang memengaruhi Fortinet FortiClient EMS sedang dieksploitasi oleh pelaku kejahatan sebagai bagian dari kejahatan siber yang memasang perangkat lunak akses desktop jarak jauh seperti AnyDesk dan ScreenConnect.
Kerentanan yang dimaksud adalah CVE-2023-48788 (skor CVSS: 9.3), bug injeksi SQL yang memungkinkan penyerang untuk mengeksekusi kode atau perintah yang tidak sah dengan mengirimkan paket data yang dibuat khusus.
Perusahaan keamanan siber Rusia Kaspersky mengatakan serangan Oktober 2024 menargetkan server Windows milik perusahaan yang tidak disebutkan namanya yang terekspos ke internet dan memiliki dua port terbuka yang terkait dengan FortiClient EMS.
Analisis lebih lanjut dari insiden tersebut menemukan bahwa pelaku kejahatan memanfaatkan CVE-2023-48788 sebagai vektor akses awal, kemudian menyisipkan file yang dapat dieksekusi ScreenConnect untuk mendapatkan akses jarak jauh ke host yang disusupi.
"Setelah instalasi awal, para penyerang mulai mengunggah aplikasi tambahan ke sistem yang disusupi, untuk memulai aktivitas penjelajahan dan penyebaran, seperti menghitung sumber daya jaringan, mencoba memperoleh kredensial, melakukan teknik penghindaran pertahanan, dan menghasilkan jenis persistensi lebih lanjut melalui alat kendali jarak jauh AnyDesk," kata Kaspersky.
Beberapa alat penting lainnya yang disisipkan selama serangan tersebut tercantum di bawah ini -
Pelaku di balik serangan tersebut diyakini telah menargetkan berbagai perusahaan yang berlokasi di Brasil, Kroasia, Prancis, India, india, Mongolia, Namibia, Peru, Spanyol, Swiss, Turki, dan U.A.E. dengan memanfaatkan berbagai subdomain ScreenConnect (misalnya, infinity.screenconnect[.]com).
Kaspersky mengatakan pihaknya mendeteksi upaya lebih lanjut untuk menjadikan CVE-2023-48788 sebagai senjata pada 23 Oktober 2024, kali ini untuk menjalankan skrip PowerShell yang dihosting di domain webhook[.]site guna "mengumpulkan respons dari target yang rentan" selama pemindaian sistem yang rentan terhadap kelemahan tersebut.
Pengungkapan ini terjadi lebih dari delapan bulan setelah perusahaan keamanan siber Forescout mengungkap serangan serupa yang melibatkan eksploitasi CVE-2023-48788 untuk mengirimkan muatan ScreenConnect dan Metasploit Powerfun.
Kerentanan yang dimaksud adalah CVE-2023-48788 (skor CVSS: 9.3), bug injeksi SQL yang memungkinkan penyerang untuk mengeksekusi kode atau perintah yang tidak sah dengan mengirimkan paket data yang dibuat khusus.
Perusahaan keamanan siber Rusia Kaspersky mengatakan serangan Oktober 2024 menargetkan server Windows milik perusahaan yang tidak disebutkan namanya yang terekspos ke internet dan memiliki dua port terbuka yang terkait dengan FortiClient EMS.
Analisis lebih lanjut dari insiden tersebut menemukan bahwa pelaku kejahatan memanfaatkan CVE-2023-48788 sebagai vektor akses awal, kemudian menyisipkan file yang dapat dieksekusi ScreenConnect untuk mendapatkan akses jarak jauh ke host yang disusupi.
"Setelah instalasi awal, para penyerang mulai mengunggah aplikasi tambahan ke sistem yang disusupi, untuk memulai aktivitas penjelajahan dan penyebaran, seperti menghitung sumber daya jaringan, mencoba memperoleh kredensial, melakukan teknik penghindaran pertahanan, dan menghasilkan jenis persistensi lebih lanjut melalui alat kendali jarak jauh AnyDesk," kata Kaspersky.
Beberapa alat penting lainnya yang disisipkan selama serangan tersebut tercantum di bawah ini -
- webbrowserpassview.exe, alat pemulihan kata sandi yang mengungkap kata sandi yang disimpan di Internet Explorer (versi 4.0 – 11.0), Mozilla Firefox (semua versi), Google Chrome, Safari, dan Opera
- Mimikatz
- netpass64.exe, alat pemulihan kata sandi
- netscan.exe, pemindai jaringan
Pelaku di balik serangan tersebut diyakini telah menargetkan berbagai perusahaan yang berlokasi di Brasil, Kroasia, Prancis, India, india, Mongolia, Namibia, Peru, Spanyol, Swiss, Turki, dan U.A.E. dengan memanfaatkan berbagai subdomain ScreenConnect (misalnya, infinity.screenconnect[.]com).
Kaspersky mengatakan pihaknya mendeteksi upaya lebih lanjut untuk menjadikan CVE-2023-48788 sebagai senjata pada 23 Oktober 2024, kali ini untuk menjalankan skrip PowerShell yang dihosting di domain webhook[.]site guna "mengumpulkan respons dari target yang rentan" selama pemindaian sistem yang rentan terhadap kelemahan tersebut.
Pengungkapan ini terjadi lebih dari delapan bulan setelah perusahaan keamanan siber Forescout mengungkap serangan serupa yang melibatkan eksploitasi CVE-2023-48788 untuk mengirimkan muatan ScreenConnect dan Metasploit Powerfun.