Uma falha crítica no Fortinet FortiClient EMS, agora corrigida, está sendo explorada por atores maliciosos em uma campanha cibernética para instalar ferramentas de acesso remoto, como AnyDesk e ScreenConnect. A vulnerabilidade, identificada como CVE-2023-48788, possui uma pontuação CVSS de 9.3 e consiste em uma falha de injeção SQL que permite a execução de comandos ou códigos não autorizados por meio de pacotes de dados manipulados. Em outubro de 2024, um servidor Windows exposto à internet foi alvo de ataques utilizando essa vulnerabilidade como vetor de acesso inicial.
Esse servidor, pertencente a uma empresa não identificada, possuía duas portas abertas associadas ao FortiClient EMS, tecnologia usada para aplicar políticas corporativas a dispositivos e oferecer acesso seguro à VPN. Após a exploração inicial, os atacantes instalaram um executável do ScreenConnect para obter acesso remoto ao sistema comprometido. Em seguida, começaram a carregar outras ferramentas maliciosas para realizar atividades como descoberta de recursos de rede, obtenção de credenciais, evasão de defesas e garantir persistência no sistema com o AnyDesk. Entre as ferramentas implantadas, estavam programas para recuperar senhas armazenadas em navegadores como Internet Explorer, Firefox, Chrome, Safari e Opera, além de outras usadas para coleta de credenciais e escaneamento de redes.
Os atacantes miraram em empresas de diversos países, incluindo Brasil, Croácia, França, Índia, Indonésia, Mongólia, Namíbia, Peru, Espanha, Suíça, Turquia e Emirados Árabes Unidos, utilizando subdomínios específicos para distribuir as ferramentas. Em 23 de outubro de 2024, foi detectada uma nova tentativa de explorar a CVE-2023-48788, desta vez com o objetivo de executar um script PowerShell hospedado em um domínio externo, para coletar respostas de alvos vulneráveis durante uma varredura de sistemas afetados pela falha.
