侵入初期に狙われる「FortiClient EMS」の既知脆弱性に注意

Kasperskyが確認したインシデントのケースでは、Windows Serverで稼働する「FortiClient EMS」が標的となっていた。管理者アカウントからレジストリハイブにアクセスしようとする試みがあり、「MDR」によるアラートで問題が発覚した。

同サーバでは、「FortiClient EMS」に関連する2ポートのみインターネットに開放されており、攻撃の標的とされたという。

攻撃者によって初期アクセスが獲得されると、「ScreenConnect」「AnyDesk」といったリモートアクセスツールがインストールされるほか、ネットワークスキャンや「Mimikatz」などによって認証情報を窃取され、ラテラルムーブメントが展開されるという。

同社のテレメトリデータを解析したところ、複数の標的に対して攻撃を展開していることも判明。さまざまなペイロードをダウンロードし、実行を試みていることがわかったという。

特定の地域に偏ることなく攻撃は展開されており、南米を含む複数の国で被害が確認された。同社は「FortiClient EMS」が脆弱性を修正したバージョンへとアップデートされているか確認するよう利用者に注意を呼びかけている。

（Security NEXT - 2024/12/20 ） ツイート

PR

関連記事

指標管理ウェブシステムから顧客情報流出の可能性 - 損保ジャパン
委託先で個人情報流出か、セキュリティ監査に虚偽報告 - ソフトバンク
新規セキュリティアドバイザリ14件を公開 - SAP
「Wazuh」や「Windows WEBDAV」の脆弱性悪用に注意
「GitLab」に複数脆弱性 - 早急にアップデートを
「Firefox」に脆弱性、アップデートを公開 - 「クリティカル」との評価も
マンション管理業務主任者登録の申請書類が所在不明に - 国交省
個人情報含む伝票綴りを紛失、誤廃棄の可能性 - JAおきなわ
中学校で卒業生の個人情報が生徒用端末から閲覧可能に - 半田市
MS、6月の月例パッチを公開 - ゼロデイ脆弱性などへ対応