Хакеры активно эксплуатируют уязвимость в «FortiClient EMS»

Исследователи в области кибербезопасности выявили, что уязвимость в программном обеспечении FortiClient Enterprise Management Server (EMS) от компании Fortinet (CVE-2023-48788) активно используется злоумышленниками. Эта уязвимость возникает из-за некорректной фильтрации SQL-запросов, что позволяет выполнять несанкционированный код или команды посредством SQL-инъекций.

Эксплуатация данной уязвимости позволяет хакерам проникать в корпоративные сети и наносить им ущерб. Несмотря на наличие патчей для этой уязвимости, злоумышленники продолжают использовать её в глобальных масштабах.

Уязвимость CVE-2023-48788 затрагивает следующие версии FortiClient EMS:

• С 7.0.1 до 7.0.10
• С 7.2.0 до 7.2.2

Оценка этой уязвимости по системе CVSS составляет 9.8, что свидетельствует о её критичности. Неавторизованный злоумышленник может отправить специально сформированные пакеты данных и выполнить удалённое выполнение кода (RCE).

Уязвимость была раскрыта в марте 2024 года, а патчи выпущены в версиях 7.0.11 и 7.2.3. FortiClient EMS часто используется как централизованная платформа, обеспечивающая удалённый доступ через интернет. Данный пробел позволяет злоумышленникам осуществлять первоначальный доступ, проводить разведку и распространять вредоносные файлы.

В октябре 2024 года команда Global Emergency Response Team (GERT) компании Kaspersky обнаружила атаку на сервер Windows. Атака была осуществлена с использованием уязвимости версии 7.0.1 FortiClient EMS.

Злоумышленники проникли в систему через SQL-инъекцию и установили такие средства удалённого управления, как ScreenConnect и AnyDesk. Также использовались утилиты Mimikatz.exe для кражи паролей и HRSword.exe для обхода защитных механизмов. Дополнительные вредоносные файлы загружались через стандартные инструменты Windows, такие как certutil и curl.

Логи FortiClient EMS (ems.log, sql_trace.log) и Microsoft SQL Server (ERRORLOG.X) показали, что атаки SQL-инъекций использовали функцию xp_cmdshell для выполнения несанкционированных команд.

Анализ угроз показывает, что уязвимость CVE-2023-48788 активно эксплуатируется в различных регионах и отраслях. Злоумышленники нацеливаются на системы для кражи данных, паролей и распространения программ-вымогателей. В частности, группировка Medusa ransomware использовала эту уязвимость для первоначального проникновения.

Пользователям FortiClient EMS рекомендуется незамедлительно обновить версии программного обеспечения до следующих:

• 7.0.11 или более новых
• 7.2.3 или более новых

Дополнительные меры безопасности включают:

1. Ограничение прямого доступа к серверам FortiClient EMS через интернет.
2. Мониторинг сетевого трафика на наличие признаков эксплуатации (с использованием IDS-систем).
3. Развёртывание платформ защиты конечных устройств (EPP) на всех устройствах.
4. Настройку веб-аппликационных экранов (WAF) для блокировки вредоносных запросов.
5. Регулярный просмотр системных логов для выявления подозрительной активности.

Эксплуатация уязвимости CVE-2023-48788 ещё раз подчёркивает важность своевременного обновления систем и принятия мер по обеспечению безопасности. Компаниям необходимо регулярно устанавливать патчи и внедрять передовые практики кибербезопасности для защиты своей инфраструктуры.