Atacantes explotan una vulnerabilidad crítica de Fortinet EMS

Iniciado por Dragora, Diciembre 20, 2024, 03:39:21 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Una vulnerabilidad crítica recientemente parcheada en Fortinet FortiClient EMS está siendo explotada activamente por actores maliciosos en una campaña cibernética. Este ataque incluye la instalación de herramientas de acceso remoto como AnyDesk y ScreenConnect, comprometiendo la seguridad de las organizaciones afectadas.

Detalles de la vulnerabilidad

La falla, identificada como CVE-2023-48788, presenta una puntuación CVSS de 9,3, clasificándola como una amenaza crítica. Este error de inyección SQL permite a los atacantes ejecutar código no autorizado al enviar paquetes de datos manipulados. La firma rusa de ciberseguridad Kaspersky confirmó que un ataque en octubre de 2024 explotó esta vulnerabilidad en el servidor Windows de una empresa no identificada con puertos asociados a FortiClient EMS expuestos a Internet.

Modus operandi del ataque

Según Kaspersky, la tecnología afectada permite a los empleados descargar políticas corporativas y acceder de manera segura a la VPN de Fortinet. Los atacantes aprovecharon la vulnerabilidad CVE-2023-48788 como punto de acceso inicial. Posteriormente, instalaron un ejecutable de ScreenConnect para obtener control remoto del sistema comprometido.

Progresión del ataque:

Carga inicial: Instalación de ScreenConnect.

Movimiento lateral: Uso de herramientas para descubrimiento de red, obtención de credenciales y persistencia mediante AnyDesk.

Herramientas utilizadas:

  • webbrowserpassview.exe: Recuperación de contraseñas almacenadas en navegadores populares.
  • Mimikatz: Extracción de credenciales.
  • netpass64.exe: Recuperación de contraseñas.
  • netscan.exe: Escaneo de red

Alcance global del ataque

Se ha identificado que los atacantes dirigieron esta campaña contra empresas en países como Brasil, Croacia, Francia, India, Indonesia, Mongolia, Namibia, Perú, España, Suiza, Turquía y los Emiratos Árabes Unidos. Utilizaron diferentes subdominios de ScreenConnect, como infinity.screenconnect[.]com, para diversificar sus ataques.

Actualizaciones recientes

El 23 de octubre de 2024, Kaspersky detectó nuevos intentos de explotar CVE-2023-48788. Estos intentos implicaron la ejecución de un script de PowerShell alojado en webhook[.]site para recopilar información de sistemas vulnerables durante escaneos.

Historial de explotación

Esta revelación se suma a una campaña previa descubierta por Forescout, que también utilizó CVE-2023-48788 para distribuir herramientas como ScreenConnect y Metasploit Powerfun. Los investigadores destacan que las técnicas empleadas por los atacantes continúan evolucionando en complejidad y efectividad.


En fin, la explotación de CVE-2023-48788 subraya la importancia de parchear sistemas críticos y limitar la exposición de servicios a Internet. Las empresas deben implementar medidas de seguridad robustas, como el monitoreo de red y el uso de herramientas de detección de intrusos, para protegerse contra estas amenazas en constante evolución.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta