Last Updated on 2024-04-17 20:33 by 荒木 啓介
サイバーセキュリティ研究者たちは、Fortinet FortiClient EMSデバイスの最近公表されたセキュリティ欠陥を悪用し、ScreenConnectおよびMetasploit Powerfunペイロードを配布する新たなキャンペーンを発見した。この活動は、CVE-2023-48788(CVSSスコア:9.3)という重大なSQLインジェクションの脆弱性を悪用し、特別に作成されたリクエストを介して認証されていない攻撃者が不正なコードやコマンドを実行できるようにするものである。サイバーセキュリティ会社Forescoutは、このキャンペーンをConnect:funというコードネームで追跡しており、侵入は2024年3月21日に脆弱性の証明コンセプト(PoC)エクスプロイトが公開された直後にインターネットに露出したFortiClient EMSデバイスを持つ名前のないメディア会社を対象としていた。数日後、未知の攻撃者がこの脆弱性を利用してScreenConnectをダウンロードしようとしたが失敗し、その後msiexecユーティリティを使用してリモートデスクトップソフトウェアをインストールした。しかし、3月25日には、PoCエクスプロイトが使用され、MetasploitのPowerfunスクリプトをダウンロードし、別のIPアドレスへのリバース接続を開始するPowerShellコードを起動した。また、certutilを使用してリモートドメイン(“ursketz[.]com”)からScreenConnectをダウンロードし、msiexecを介してインストールする前にコマンドアンドコントロール(C2)サーバーとの接続を確立するSQLステートメントも検出された。この脅威アクターは少なくとも2022年から活動しており、特にFortinetアプライアンスを狙い、インフラストラクチャにベトナム語とドイツ語を使用していることが示唆されている。Forescoutは、Fortinetによって提供されたパッチを適用し、不審なトラフィックを監視し、潜在的に悪意のあるリクエストをブロックするためにWebアプリケーションファイアウォール(WAF)を使用することを組織に推奨している。
【ニュース解説】
サイバーセキュリティの研究者たちは、FortinetのFortiClient EMSデバイスに存在する新たに公表されたセキュリティの脆弱性を悪用するキャンペーンを発見しました。この脆弱性は、CVE-2023-48788として識別され、CVSSスコアは9.3と評価されています。これは、特別に作成されたリクエストを通じて、認証されていない攻撃者が不正なコードやコマンドを実行できる重大なSQLインジェクションの脆弱性です。
この攻撃キャンペーンは、Forescoutによって「Connect:fun」というコードネームで追跡されており、ScreenConnectおよびMetasploitのPowerfunペイロードを配布することを目的としています。攻撃は、脆弱性の証明コンセプト(PoC)エクスプロイトが公開された直後にインターネットに露出したFortiClient EMSデバイスを持つ、名前のないメディア会社を対象に行われました。
攻撃者は、この脆弱性を利用してScreenConnectをダウンロードしようとしましたが、最初は失敗しました。その後、msiexecユーティリティを使用してリモートデスクトップソフトウェアをインストールし、さらにPoCエクスプロイトを使用してMetasploitのPowerfunスクリプトをダウンロードし、リバース接続を開始するPowerShellコードを起動しました。
このキャンペーンの背後にいる脅威アクターは、少なくとも2022年から活動しており、Fortinetアプライアンスを狙い、インフラストラクチャにベトナム語とドイツ語を使用していることが示唆されています。この活動には明らかに手動での操作が含まれており、ツールのダウンロードやインストールに失敗する試みが複数回観察され、試みの間には比較的長い時間がかかっています。これは、この活動が自動化されたサイバー犯罪ボットネットに含まれるエクスプロイトではなく、特定のキャンペーンの一部であることを示しています。
この攻撃は、組織に対してFortinetから提供されるパッチを適用し、不審なトラフィックを監視し、Webアプリケーションファイアウォール(WAF)を使用して潜在的に悪意のあるリクエストをブロックすることを推奨しています。
このような攻撃キャンペーンの発見は、組織がセキュリティ対策を常に最新の状態に保つことの重要性を強調しています。また、特定の脆弱性を悪用する攻撃者の手法が進化し続けていることを示しており、サイバーセキュリティの専門家は、新たな脅威に迅速に対応し、防御策を適切に更新する必要があります。この事件は、組織がセキュリティの脆弱性に対する認識を高め、攻撃者による悪用を防ぐために、定期的なセキュリティ監査とパッチ適用の実施の重要性を再確認させるものです。
from Hackers Exploit Fortinet Flaw, Deploy ScreenConnect, Metasploit in New Campaign.
