el más reciente

― Advertisement ―

Relacionada

TikTok se apaga en los EE. UU. cuando la prohibición federal...

La popular red social para compartir vídeos TikTok dejará de funcionar oficialmente en los Estados Unidos en 2025, ya que la prohibición federal de...
spot_img
InicioTecnologíaHackers aprovechan la vulnerabilidad crítica de EMS de Fortinet para implementar herramientas...

Hackers aprovechan la vulnerabilidad crítica de EMS de Fortinet para implementar herramientas de acceso remoto

Una descompostura de seguridad crítica ahora parcheada que afecta a Fortinet FortiClient EMS está siendo explotada por actores maliciosos como parte de una campaña cibernética que instaló software de escritorio remoto como AnyDesk y ScreenConnect.

La vulnerabilidad en cuestión es CVE-2023-48788 (puntuación CVSS: 9,3), un error de inyección SQL que permite a los atacantes ejecutar código o comandos no autorizados mediante el giro de paquetes de datos especialmente diseñados.

La empresa rusa de ciberseguridad Kaspersky dijo que el ataque de octubre de 2024 tuvo como objetivo el servidor Windows de una empresa anónima que estaba expuesto a Internet y tenía dos puertos abiertos asociados con FortiClient EMS.

«La empresa objetivo emplea esta tecnología para permitir a los empleados descargar políticas específicas a sus dispositivos corporativos, otorgándoles entrada seguro a la VPN de Fortinet», dijo en un exploración del jueves.

Un exploración más detallado del incidente encontró que los actores de amenazas aprovecharon CVE-2023-48788 como vector de entrada auténtico y seguidamente eliminaron un ejecutable de ScreenConnect para obtener entrada remoto al host comprometido.

«Posteriormente de la instalación auténtico, los atacantes comenzaron a cargar cargas bártulos adicionales en el sistema comprometido, para comenzar actividades de descubrimiento y movimiento limítrofe, como enumerar medios de red, intentar obtener credenciales, realizar técnicas de diversión de defensa y crear otro tipo de persistencia a través de la utensilio de control remoto AnyDesk», afirmó Kaspersky.

Algunas de las otras herramientas notables que se eliminaron durante el ataque se enumeran a continuación:

  • webbrowserpassview.exe, una utensilio de recuperación de contraseñas que revela las contraseñas almacenadas en Internet Explorer (traducción 4.0 – 11.0), Mozilla Firefox (todas las versiones), Google Chrome, Safari y Opera.
  • imitargato
  • netpass64.exe, una utensilio de recuperación de contraseña
  • netscan.exe, un escáner de red
Leer  Paquetes Rspack npm comprometidos con malware de criptominería en un ataque a la cadena de suministro

Se cree que los actores de amenazas detrás de la campaña se dirigieron a varias empresas ubicadas en Brasil, Croacia, Francia, India, Indonesia, Mongolia, Namibia, Perú, España, Suiza, Turquía y los Emiratos Árabes Unidos mediante el uso de diferentes subdominios de ScreenConnect (por ejemplo, infinity.screenconnect(.)com).

Kaspersky dijo que detectó más intentos de convertir CVE-2023-48788 en un armamento el 23 de octubre de 2024, esta vez para ejecutar un script de PowerShell alojado en un dominio de sitio webhook(.) para «compendiar respuestas de objetivos vulnerables» durante un escaneo de un sistema susceptible al defecto.

La divulgación se produce más de ocho meses luego de que la empresa de ciberseguridad Forescout descubriera una campaña similar que implicaba explotar CVE-2023-48788 para entregar cargas bártulos ScreenConnect y Metasploit Powerfun.

«El exploración de este incidente nos ayudó a establecer que las técnicas utilizadas actualmente por los atacantes para implementar herramientas de entrada remoto se actualizan constantemente y crecen en complejidad», dijeron los investigadores.

El más popular

spot_img