Fortinet’in FortiClient EMS’sini kullanan kuruluşları hedef alan yeni bir istismar kampanyası ortaya çıktı.
Forescout Research – Vedere Labs tarafından “Bağlan: eğlence” olarak adlandırılan bu kampanya, CVE-2023-48788 olarak tanımlanan kritik bir güvenlik açığından yararlanıyor.
Kampanya en az 2022’den beri aktif ve son zamanlarda güvenlik yönetimi çözümünden artan bir güçle yararlanıldığı gözlemlendi.
Güvenlik Açığı: CVE-2023-48788
CVE-2023-48788, Fortinet’in FortiClient EMS’sinde bulunan bir SQL enjeksiyon güvenlik açığıdır. SQL enjeksiyonu, bir saldırganın bir uygulamanın veritabanı sorgularına müdahale etmesine olanak tanıyan bir saldırı türüdür.
Kullanıcı bilgileri gibi saldırganın normalde alamayacağı verileri görüntülemek veya veritabanı bilgilerini değiştirmek için kullanılabilir.
Fortinet, 12 Mart 2024’te bu güvenlik açığıyla ilgili bir danışma belgesi yayınladı ve istismara ilişkin kavram kanıtı (PoC) 21 Mart 2024’te kamuya açıklandı.
Görünüşe göre bu açıklama, tehdit aktörlerinin artan istismar girişimleri için bir katalizör görevi gördü.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Diğer e-posta güvenlik çözümlerinin kaçırdığı kimlik avı saldırılarının %99’unu durdurur. .
Ücretsiz Demoyu Deneyin
Connect:fun kampanyası, ScreenConnect ve Powerfun’un kullanım sonrası araçlar olarak kullanılmasıyla özellikle dikkat çekiyor ve bu, onu Vedere Labs’ın ilk adlandırılmış kampanyası olarak gösteriyor.
Bu kampanyayı gün ışığına çıkaran olay, FortiClient EMS’nin savunmasız olduğu ve internete açık olduğu bir medya şirketini ilgilendiriyordu.
Saldırı münferit bir olay değildi. IP adresinden tarama etkinliği 185[.]56[.]83[.]82’nin çeşitli müşteri ağlarında FortiClient EMS’yi hedef aldığı gözlemlendi.
Bu faaliyet 21 Mart’ta başladı ve birkaç gün boyunca devam etti; bu durum, saldırganların bu güvenlik açığından birden fazla potansiyel kurban üzerinde yararlanmaya yönelik ortak bir çaba gösterdiğini gösteriyor.
CVE-2023-48788’in kötüye kullanılması, FortiClient EMS üzerinde yetkisiz erişime ve kontrole yol açabileceğinden kuruluşlar için önemli bir tehdit oluşturmaktadır.
Bu kontrol, veri hırsızlığı, ağ içinde yanal hareket ve potansiyel olarak kuruluşun siber savunmasının tam ölçekli ihlali dahil olmak üzere daha fazla kötü niyetli faaliyetle sonuçlanabilir.
Azaltma ve Savunma Stratejileri
Connect:fun kampanyasına yanıt olarak kuruluşların ağlarını korumak için derhal harekete geçmeleri isteniyor:
- Yamayı Uygula: Fortinet, CVE-2023-48788’i ele alan bir yama yayınladı. Güvenlik açığının kapatılması için kuruluşların bu yamayı gecikmeden uygulaması gerekmektedir.
- Trafiği İzleme: FortiClient EMS’ye ulaşan trafiği istismar işaretleri açısından izlemek çok önemlidir. İzinsiz giriş tespit sistemi (IDS), kötü niyetli etkinliklerin tanımlanmasında ve bunlara yanıt verilmesinde etkili olabilir.
- Web Uygulaması Güvenlik Duvarı (WAF): WAF dağıtmak, potansiyel olarak kötü amaçlı isteklerin engellenmesine yardımcı olabilir ve ek bir güvenlik katmanı sağlayabilir.
- IoC’lerden ve TTP’lerden yararlanın: Siber güvenlik araştırmacıları tarafından paylaşılan Tehlike Göstergeleri (IoC’ler) ve Taktikler, Teknikler ve Prosedürler (TTP’ler), saldırıları tespit etmek ve önlemek için kullanılabilir.
Fortinet’in FortiClient EMS’sini kullanan kuruluşlar, sistemlerini bu ve benzeri tehditlere karşı korumak için proaktif önlemler almalıdır.
Secure your emails in a heartbeat! To find your ideal email security vendor, Take a Free 30-Second Assessment.