Grupul de ransomware Medusa a exploatat o vulnerabilitate critică în software-ul FortiClient EMS de la Fortinet pentru a lansa atacuri sofisticate de tip ransomware. Vulnerabilitatea, cunoscută sub numele de CVE-2023-48788, permite atacatorilor să execute cod malițios pe sistemele vulnerabile și să obțină acces pentru a lansa atacuri de tip ransomware.
TL;DR
- grupul Medusa exploatează vulnerabilitatea CVE-2023-48788 în FortiClient EMS.
- Vulnerabilitatea permite execuția de cod malițios pe sistemele afectate.
- Medusa este cunoscut pentru atacuri asupra sectoarelor precum sănătate, producție și educație.
- Adoptarea unor practici robuste de management al patch-urilor este esențială pentru protecție.
Atacurile Medusa și vulnerabilitatea Fortinet
Grupul de ransomware Medusa, cunoscut pentru atacurile sale asupra sectorului de sănătate, producție și educație, a exploatat vulnerabilitatea de tip SQL Injection din software-ul FortiClient EMS, cunoscută sub numele de CVE-2023-48788. Această vulnerabilitate permite atacatorilor să execute cod malițios pe sistemele vulnerabile, oferindu-le un punct de sprijin pentru implementarea ransomware-ului.
Metodologie de atac
Medusa folosește cereri web malițioase care conțin declarații SQL pentru a manipula parametrii FCTUID în anteturile cererilor, permițând astfel execuția de comenzi arbitrare prin funcția xp_cmdshell din Microsoft SQL Server. După obținerea accesului inițial, Medusa creează un webshell pe serverul compromis pentru a facilita exfiltrarea datelor și livrarea de payload-uri malițioase.
Instrumente folosite de Medusa
Grupul utilizează instrumente precum bitsadmin și scripturi PowerShell pentru a transfera fișiere malițioase și a stabili persistența în sistemele victimelor. Ransomware-ul grupului, cunoscut sub numele de gaze.exe, termină diverse servicii și încarcă fișiere care fac referire la linkuri Tor pentru exfiltrarea datelor. Pentru a evita detectarea, Medusa instalează versiuni compromise ale uneltelor legitime de remote monitoring și management (RMM) precum ConnectWise și AnyDesk, care trec adesea neobservate din cauza statutului lor de încredere în mediul victimei.
Măsuri de protecție
Organizațiile pot adopta o abordare multi-stratificată pentru a se apăra împotriva atacurilor ransomware ale Medusa. Implementarea unor practici robuste de management al patch-urilor este crucială pentru a aborda prompt vulnerabilitățile precum cea din Fortinet. Segmentarea rețelei, backup-urile regulate și instruirea angajaților în domeniul securității sunt componente esențiale ale unei strategii de apărare cuprinzătoare.
Sursa articolului:
https://cybersecuritynews.com/medusa-ransomware-exploiting-fortinet-flaw/