Fortinet FortiClient EMS 受 SQL 注入漏洞影响的攻击

重点总结

攻击者利用 Fortinet FortiClient EMS 的 SQL 注入漏洞CVE202348788进行攻击。目的是部署 ScreenConnect 软件和 Metasploit Powerfun 脚本。攻击活动中发现有手动操作的成分，并非完全自动化。攻击者选择有 VPN 设备的目标环境，而非大规模扫描。

最近，报告指出攻击者利用影响Fortinet FortiClient EMS 设备的关键 SQL 注入漏洞CVE202348788发起攻击，推动部署 ScreenConnect 软件及 Metasploit Powerfun 脚本，相关信息由The Hacker News报道。

一项来自 Forescout 的报告显示，攻击者在试图通过攻击一个暴露在互联网的 FortiClient EMS 实例属于一个未指明的媒体公司来安装 ScreenConnect 时失败，随后转而利用 msiexec 工具启动该软件，并执行 PowerShell 代码以下载 Powerfun 脚本。

研究人员指出，攻击者未成功安装 ScreenConnect 的尝试表明，此次攻击活动中可能存在手动操作的成分，且与之前报告的利用此漏洞进行 ScreenConnect 和 Atera 的攻击有相似之处。

这证明这项活动是特定攻击活动的一部分，而不是包含在自动化网络犯罪机器人网络中的漏洞利用。我们的观察显示，参与此次活动的攻击者并非在进行大规模扫描，而是在选择已有 VPN 设备的目标环境，研究人员补充道。

通过本次事件，可以看出 Fortinet FortiClient EMS 装置的安全性受到了严峻挑战，用户需高度警惕，并加强网络安全措施以防范类似攻击。

每天免费2小时加速器