Critical Fortinet Vulnerability Exploited: Hackers Deploy Remote Control Tools and Backdoors
2024/04/08 SecurityOnline — Fortinet の FortiClient Enterprise Management System (EMS) において、先日にパッチが適用された脆弱性 CVE-2023-48788 を狙う憂慮すべきキャンペーンを、Red Canary のセキュリティ研究者たちが発見した。この脆弱性に対してパッチが適用されていない場合には、完全な管理者権限を取得する攻撃者により、脆弱なシステム上でのリモートコード実行の可能性が生じる。
この攻撃の核心は、FortiClient VPN システムの管理において極めて重要な、セキュリティ管理ソリューション FortiClient EMS に存在する、脆弱性 CVE-2023-48788 にある。この脆弱性を悪用する未認証のユーザーが、特別に細工されたメッセージを通じて SYSTEM レベルのコマンドを実行し、さまざまな悪意のある活動を行うことが可能になる。
Red Canary の観察により、悪用の一貫したパターンが明らかになっている。この攻撃は、FortiClient EMS アプリケーションの FCMdaemon プロセスを標的とする、外部ネットワーク接続から始まり、SQL インジェクションや cmd.exe を介した任意のコマンド実行へとつながる。つまり、脆弱性 CVE-2023-48788 を悪用する攻撃者が、RMM (Remote Monitoring and Management) や PowerShell-based のバックドアを展開し、侵害したシステムの SYSTEM レベル権限を乗っ取ることになる。
それらの攻撃者たちは、Atera や ScreenConnect といった RMM ツールの強力な機能を、悪意のある目的のために利用する。通常であれば、ユーザー組織のフレームワーク内でのリモート・オペレーションやメンテナンス・タスクが、それらのツールにより簡素化される。しかし、サイバー犯罪者の手にかかると、正当性を装いながら遠隔操作が行われ、さらなる悪意のある活動を実行する強力な手段になり得る。
この脅威に対応するために Fortinet は、脆弱性 CVE-2023-48788 のリスクを軽減するための仮想パッチをリリースしている。それぞれの組織に推奨されるのは、FortiClient EMS をアップデートして、この脆弱性を回避することだ。推奨パッチである “FG-VD-54509.0day:FortiClientEMS.DAS.SQL.Injection” は、脆弱性が確認された FortiClient EMS の特定バージョンを対象としている。
パッチをすぐに適用できない組織や、さらなるセキュリティ対策を求める組織に対して、Red Canaryはいくつかの検知戦略を提案している:
- インバウンド・ネットワーク接続の監視:FCMdaemon.exe へのインバウンド・ネットワーク接続に対して、特に不明な外部 IP アドレスからの接続に対して注意すべきである。
- 不審な PowerShell アクティビティの特定: 異常な PowerShell プロセスについて、特に sqlservr.exe を親プロセスとして、cmd.exe から生成されるプロセスについて監視を強化する。
- PowerShell の Invoke-WebRequest Cmdlet の悪用を検出: 外部ソースから “.msi” ファイルをダウンロードする、Invoke-WebRequest コマンドレットの悪用に注意する。
- 未許可の RMM ツールを規制: 許可リストやブロック・リストなどのアプリケーション制御を用いて、ネットワーク内での未許可 RMM ツールの操作を防止する。
このところ、Fortinet の記事が多い感じがします。そこで、このブログ内を検索してみたところ、3月には5本も記事があったのですが、そのうちの4本が CVE-2023-48788 に関連するものでした。すでに PoC が公開され、悪用も報告されていますが、今日の記事は攻撃キャンペーンの検出を報告するものです。ご利用のチームは、お気をつけください。
IoT OT Security News 
You must be logged in to post a comment.