Fortinet FortiClient EMS 受 SQL 注入漏洞影响的攻击

重点总结

• 攻击者利用 Fortinet FortiClient EMS 的 SQL 注入漏洞（CVE-2023-48788）进行攻击。
• 目的是部署 ScreenConnect 软件和 Metasploit Powerfun 脚本。
• 攻击活动中发现有手动操作的成分，并非完全自动化。
• 攻击者选择有 VPN 设备的目标环境，而非大规模扫描。

最近，报告指出攻击者利用影响 FortiClient EMS 设备的关键 SQL注入漏洞（CVE-2023-48788）发起攻击，推动部署 ScreenConnect 软件及 Metasploit Powerfun脚本，相关信息由报道。

一项来自 Forescout 的报告显示，攻击者在试图通过攻击一个暴露在互联网的 FortiClient EMS 实例（属于一个未指明的媒体公司）来安装 ScreenConnect 时失败，随后转而利用 msiexec 工具启动该软件，并执行 PowerShell 代码以下载 Powerfun 脚本。

研究人员指出，攻击者未成功安装 ScreenConnect 的尝试表明，此次攻击活动中可能存在手动操作的成分，且与之前报告的利用此漏洞进行 ScreenConnect 和 Atera 的攻击有相似之处。

"这证明这项活动是特定攻击活动的一部分，而不是包含在自动化网络犯罪机器人网络中的漏洞利用。我们的观察显示，参与此次活动的攻击者并非在进行大规模扫描，而是在选择已有 VPN 设备的目标环境，"研究人员补充道。

通过本次事件，可以看出 Fortinet FortiClient EMS 装置的安全性受到了严峻挑战，用户需高度警惕，并加强网络安全措施以防范类似攻击。