Des chercheurs en cybersécurité ont identifié une nouvelle campagne exploitant une faille de sécurité récemment révélée dans les appareils FortiClient EMS de Fortinet, afin de diffuser les charges utiles de ScreenConnect et Powerfun de Metasploit. Cette vulnérabilité, identifiée comme CVE-2023-48788, est une faille critique d’injection SQL permettant à un attaquant non authentifié d’exécuter du code ou des commandes non autorisées via des requêtes spécialement conçues.
La firme Forescout, qui surveille cette campagne nommée Connect:fun, a signalé que l’incident a visé une entreprise médiatique anonyme. Cette société avait son dispositif FortiClient EMS exposé sur internet peu après la publication d’un exploit de preuve de concept pour la faille le 21 mars 2024.
Au départ, l’adversaire a tenté sans succès de télécharger ScreenConnect, puis a installé ce logiciel de bureau à distance en utilisant l’utilitaire msiexec. Le 25 mars, l’exploit a été utilisé pour lancer du code PowerShell qui téléchargeait le script Powerfun de Metasploit et initiait une connexion inverse à une autre adresse IP. Des instructions SQL conçues pour télécharger ScreenConnect depuis un domaine distant ont également été détectées.
L’acteur de la menace, actif depuis au moins 2022, a ciblé spécifiquement les appareils Fortinet, utilisant des infrastructures en vietnamien et en allemand. Cette activité suggère un élément manuel comme le démontrent tous les essais infructueux de téléchargement et d’installation des outils.
Il est crucial que les organisations appliquent les correctifs fournis par Fortinet, surveillent le trafic suspect et utilisent un pare-feu d’application web pour bloquer les demandes potentiellement malveillantes.
Pour les entreprises et individus utilisant des appareils Fortinet, il est conseillé de mettre à jour régulièrement les systèmes et d’employer des solutions de surveillance de l’intégrité des fichiers pour détecter toute modification non autorisée. Cela peut contribuer à prévenir les issues potentiellement désastreuses d’une intrusion réussie.
Pour rendre ce concept technique plus accessible, pensez aux mises à jour des appareils Fortinet comme à un vaccin pour votre système informatique : une mesure essentielle de prévention pour garder le système en bonne santé et résistant aux infections malveillantes.
