Fortinet EMS の脆弱性 CVE-2023-48788：悪用に関する詳細が公開 – Darktrace

CVE-2023-48788 Exploited: Researcher Details Cyberattacks on Fortinet EMS

2024/09/19 SecurityOnline — Fortinet FortiClient EMS の脆弱性に対する、サイバー犯罪者による悪用を詳述するレポートが、Darktrace のサイバーセキュリティ研究者から発表された。同レポートでは、特に CVE-2023-48788 という重大な脆弱性に焦点を当て、さまざまな環境で観測された巧妙な攻撃チェーンと悪用後の戦術の概要が詳述されている。エンドポイント・セキュリティの集中管理に広く使用されている、FortiClient EMS に存在する SQLインジェクション脆弱性 CVE-2023-48788 は、は、CVSS スコア 9.8 と評価されている。

2024年3月に公表された、この脆弱性の悪用に成功した攻撃者は、不適切な SQL コマンドの無効化を悪用することで、認証を必要としない不正アクセスを可能にする。この脆弱性は、リモート・コード実行 (RCE) につながるものであり、パッチ未適用のシステムを運用する組織に対して、深刻な脅威をもたらす。

Darktrace が観測したものには、不審な外部 IP と通信している、複数の EMS デバイスのインスタンスがあり、悪用された兆候だと示唆される。おそらく、これらの接続の目的は脆弱性を検証であり、初期の足がかりを確立するために使用されたものと思われる。

不正なアクセスに成功した攻撃者は、Atera や ScreenConnectな どの RMM (Remote Monitoring and Management) ツールを展開し、侵害したシステムへの持続的なアクセスを確立する。この攻撃者は、正規の RMM ツールを使用することで、通常のネットワーク・トラフィックに紛れ込み、従来からのセキュリティ・ツールによる検知を回避していた。注目すべきは、一部のデバイスが、悪名高い Sliver C2 フレームワークに関連付けられた IP アドレスに対して、HTTP POST リクエストを開始したことである。Sliver C2 フレームワークは、APT28／APT29 などの APT (Advanced Persistent Threat) グループにより一般的に使用されるものだ。

さらに攻撃者は、“SETUP.MSI” や “run.zip” などのファイルもダウンロードしているが、そこには、追加の悪意のペイロードが取り込まれている可能性が高い。これらのダウンロードにより攻撃者は、感染させたデバイスに対する支配を、さらに強固なものにする。

そして、最初の侵害に成功した攻撃者は、Nmap などのツールを活用してネットワークをスキャンし、重要な情報を収集するなどの、内部偵察を行っていた。ある環境では、内部接続に異常な急増が検出され、広範囲にわたるネットワーク・スキャン活動が行われていることが示された。

時には、攻撃者はブルートフォース攻撃を用いることで特権を拡大し、管理者の認証情報を悪用して認証を成功させていた。管理アクセスが不正に取得されると、PsExec などのツールを使用することで DCE-RPC プロトコルを悪用し、検知を回避しながらネットワークを横断するなどの、迅速な横移動が行われていた。

大半のケースにおいて、Darktrace は攻撃者の最終的な目的を特定できなかった。しかし、大量のデータが外部のクラウド・ストレージ・サービスにアップロードされた事例が１件確認されており、攻撃者の主な目的がデータ流出にあるという可能性が示唆されている。また、別の事例では、Medusa ランサムウェア攻撃の活動が、FortiClient EMS 侵害にまで遡って追跡され、このランサムウェアが展開される数週間前に、システムが侵害されていたことが判明している。

FortiClient EMS の悪用が浮き彫りにするのは、インターネットに面したシステムの脆弱性に対して、迅速にパッチ適用することに必要性である。修正パッチが公開された後であっても、いったん CVE-2023-48788 が悪用されてしまうと、脅威アクターによるシステムは素早く悪用される。Darktrace の調査結果が示すのは、RMM ソフトウェアのような正規のツールに依存する攻撃者が、これまで以上に巧妙に検知を回避し、悪用後の戦術を高度化させているという、いまの状況ある。

Fortinet FortiClient EMS の脆弱性 CVE-2023-48788 に対する攻撃が観測されているとのことです。文中では、Medusa の名前も挙げられていますが、それとは別の脅威アクターが攻撃を仕掛けているようです。なお、2024/09/14 の「Medusa の活動が拡大：Fortinet CVE-2023-48788 の悪用と OSINT を装うサービスの展開」では、Medusa による攻撃の詳細が解説されています。よろしければ、Medusa で検索も、ご利用ください。