Eine neue Exploit-Kampagne, bekannt als „Connect:Fun“, richtet sich gezielt gegen Organisationen, die Fortinet’s FortiClient EMS einsetzen, und nutzt dabei eine kritische Schwachstelle aus.
Die von Forescout Research – Vedere Labs identifizierte Kampagne macht Gebrauch von der schwerwiegenden Sicherheitslücke CVE-2023-48788 und zeigt seit 2022 eine zunehmende Aktivität. Diese Lücke ermöglicht es Angreifern durch SQL-Injektion, unberechtigt Datenbankabfragen zu manipulieren.
Die Schwachstelle: CVE-2023-48788
Die SQL-Injektionsanfälligkeit in Fortinet’s FortiClient EMS erlaubt es Angreifern, Daten einzusehen oder zu manipulieren, die normalerweise nicht zugänglich sind, wie etwa Benutzerinformationen. Fortinet veröffentlichte am 12. März 2024 einen Sicherheitshinweis zu dieser Schwachstelle, und am 21. März 2024 wurde ein Proof of Concept (PoC) für den Exploit öffentlich zugänglich gemacht. Dies führte zu einer verstärkten Ausnutzung der Schwachstelle durch Cyberkriminelle.
Die Connect:Fun-Kampagne
Besonders bemerkenswert an der Connect:Fun-Kampagne ist der Einsatz von ScreenConnect und Powerfun als Werkzeuge nach der Kompromittierung. Diese Kampagne ist die erste von Vedere Labs benannte Kampagne, die ein Medienunternehmen betraf, dessen FortiClient EMS verwundbar und im Internet zugänglich war.
Seit dem 21. März wurde zudem vermehrte Scanning-Aktivität von der IP-Adresse 185[.]56[.]83[.]82 festgestellt, die FortiClient EMS in verschiedenen Kundennetzwerken anvisierte. Diese Aktivitäten deuten auf eine gezielte Anstrengung der Angreifer hin, die Schwachstelle in zahlreichen potenziellen Opfern auszunutzen.
Auswirkungen und mögliche Maßnahmen
Die Ausnutzung von CVE-2023-48788 stellt eine erhebliche Bedrohung für Organisationen dar, da sie unautorisierten Zugriff auf und Kontrolle über das FortiClient EMS ermöglicht. Dies kann zu weiteren bösartigen Aktivitäten führen, einschließlich Datendiebstahl, lateraler Bewegung im Netzwerk und potenziell zu einem umfassenden Bruch der Cyberverteidigung der Organisation.
Strategien zur Minderung und Verteidigung
Als Reaktion auf die Connect:Fun-Kampagne wird Organisationen dringend empfohlen, sofortige Schutzmaßnahmen für ihre Netzwerke zu ergreifen:
- Patch anwenden: Fortinet hat einen Patch zur Behebung von CVE-2023-48788 herausgegeben. Organisationen sollten diesen Patch unverzüglich einsetzen, um die Schwachstelle zu schließen.
- Verkehr überwachen: Es ist entscheidend, den Datenverkehr, der das FortiClient EMS erreicht, auf Anzeichen einer Ausnutzung zu überwachen. Ein Intrusion Detection System (IDS) kann dabei helfen, bösartige Aktivitäten zu identifizieren und darauf zu reagieren.
- Web Application Firewall (WAF) einsetzen: Eine WAF kann helfen, potenziell bösartige Anfragen zu blockieren und bietet eine zusätzliche Sicherheitsebene.
- IoCs und TTPs nutzen: Indikatoren für Kompromittierungen (IoCs) und Taktiken, Techniken und Verfahren (TTPs), die von Cybersicherheitsforschern geteilt werden, können verwendet werden, um Angriffe zu erkennen und zu verhindern.
Organisationen, die Fortinet’s FortiClient EMS verwenden, müssen proaktive Maßnahmen ergreifen, um ihre Systeme gegen diese und andere ähnliche Bedrohungen zu sichern.