Blot få dage efter de indledende udnyttelsesrapporter begyndte at rulle ind for en kritisk sikkerhedssårbarhed i ConnectWise ScreenConnect remote desktop management service, advarer forskere om, at et forsyningskædeangreb af for store proportioner kan være klar til at bryde ud.
Når fejlene er udnyttet, vil hackere få fjernadgang til "op mod ti tusinde servere, der kontrollerer hundredtusindvis af endepunkter," sagde Huntress CEO Kyle Hanslovan i en e-mail-kommentar og mente, at det er tid til at forberede sig på "den største cybersikkerhedshændelse i 2024 ."
ScreenConnect kan bruges af teknisk support og andre til at autentificere til en maskine, som om de var brugeren. Som sådan kunne det give trusselsaktører mulighed for at infiltrere værdifulde slutpunkter og udnytte deres privilegier.
Endnu værre er applikationen meget brugt af administrerede tjenesteudbydere (MSP) til at oprette forbindelse til kundemiljøer, så den kan også åbne døren for trusselsaktører, der ønsker at bruge disse MSP'er til downstream-adgang, svarende til tsunami af Kaseya-angreb som virksomheder stod over for i 2021.
ConnectWise-fejl Hent CVE'er
ConnectWise afslørede fejlene i mandags uden CVE'er, hvorefter proof-of-concept (PoC) udnyttelser hurtigt dukkede op. Tirsdag advarede ConnectWise om, at fejlene var under aktivt cyberangreb. På onsdag rapporterede adskillige forskere sneboldende cyberaktivitet.
Sårbarhederne har nu sporing af CVE'er. En af dem er en max-severity authentication bypass (CVE-2024-1709, CVSS 10), som giver en hacker med netværksadgang til administrationsgrænsefladen mulighed for at oprette en ny konto på administratorniveau på berørte enheder. Det kan parres med en anden fejl, et problem med stigennemgang (CVE-2024-1708, CVSS 8.4), der tillader uautoriseret filadgang.
Indledende adgangsmæglere ramper op aktivitet
Ifølge Shadowserver Foundation er der mindst 8,200 sårbare forekomster af platformen udsat for internettet inden for dens telemetri, hvoraf størstedelen er placeret i USA.
"CVE-2024-1709 er meget udnyttet i naturen: 643 IP'er er set angribe til dato af vores sensorer," den sagde i et LinkedIn -opslag.
Huntress-forskere sagde, at en kilde inden for det amerikanske efterretningssamfund fortalte dem det initial access brokers (IAB'er) er begyndt at kaste sig over fejlene for at oprette butik inde i forskellige endepunkter med den hensigt at sælge den adgang til ransomware-grupper.
Og faktisk i et tilfælde observerede Huntress cyberangribere, der brugte sikkerhedssårbarhederne til at implementere ransomware til en lokal regering, inklusive endepunkter, der sandsynligvis er knyttet til 911-systemer.
"Den store udbredelse af denne software og den adgang, som denne sårbarhed giver, signalerer, at vi er på nippet til en ransomware gratis for alle," sagde Hanslovan. "Hospitaler, kritisk infrastruktur og statslige institutioner er bevist i fare."
Han tilføjede: "Og når de først begynder at presse deres datakryptering, vil jeg være villig til at vædde på, at 90 % af forebyggende sikkerhedssoftware ikke fanger det, fordi det kommer fra en pålidelig kilde."
Bitdefender-forskere bekræftede i mellemtiden aktiviteten og bemærkede, at trusselsaktører bruger ondsindede udvidelser til at implementere en downloader, der er i stand til at installere yderligere malware på kompromitterede maskiner.
"Vi har bemærket adskillige tilfælde af potentielle angreb, der udnytter udvidelsesmappen i ScreenConnect, [mens sikkerhedsværktøjer] antyder tilstedeværelsen af en downloader baseret på det indbyggede certutil.exe-værktøj," ifølge en Bitdefender blogindlæg om ConnectWise cyberaktivitet. "Trusselsaktører bruger almindeligvis dette værktøj … til at starte download af yderligere ondsindet nyttelast til ofrets system."
Det amerikanske Cybersecurity and Infrastructure Security Agency (CISA) har tilføjet fejlene til sin Katalog med kendte udnyttede sårbarheder.
Afbødning for CVE-2024-1709, CVE-2024-1708
On-premises versioner til og med 23.9.7 er sårbare - så den bedste beskyttelse er at identificere alle systemer, hvor ConnectWise ScreenConnect er installeret, og anvende patches, der er udstedt med ScreenConnect version 23.9.8.
Organisationer bør også holde øje med indikatorer for kompromis (IoC'er), der er opført af ConnectWise i sin rådgivning. Bitdefender-forskere anbefaler overvågning af mappen "C: Program Files (x86)ScreenConnectApp_Extensions"; Bitdefender har markeret, at alle mistænkelige .ashx- og .aspx-filer, der er gemt direkte i roden af den pågældende mappe, kan indikere uautoriseret kodeudførelse.
Der kunne også være gode nyheder i horisonten: "ConnectWise sagde, at de tilbagekaldte licenser til ikke-patchede servere, og selvom det er uklart fra vores side, hvordan dette virker, ser det ud til, at denne sårbarhed stadig er en stor bekymring for alle, der kører en sårbar version, eller hvem der gjorde det. ikke lappe hurtigt," tilføjede Bitdefender-forskere. "Dette betyder ikke, at ConnectWises handlinger ikke virker, vi er usikre på, hvordan dette udspillede sig på nuværende tidspunkt."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
- :har
- :er
- :ikke
- :hvor
- $OP
- 10
- 200
- 2021
- 2024
- 23
- 7
- 8
- 9
- a
- adgang
- Ifølge
- Konto
- aktioner
- aktiv
- aktivitet
- aktører
- tilføjet
- Yderligere
- rådgivende
- fortaler
- påvirket
- råd
- Efter
- agentur
- Alle
- tillade
- tillader
- også
- an
- ,
- og infrastruktur
- enhver
- nogen
- dukkede
- kommer til syne
- Anvendelse
- Anvendelse
- ER
- AS
- At
- angribe
- Angriberen
- At angribe
- Angreb
- autentificere
- Godkendelse
- baseret
- BE
- fordi
- BEDSTE
- Bet
- Største
- Blog
- mæglere
- Bug
- bugs
- indbygget
- virksomheder
- by
- bypass
- CAN
- stand
- brydning
- Direktør
- kæde
- kode
- kommer
- kommentar
- almindeligt
- samfund
- kompromis
- Kompromitteret
- Bekymring
- Tilslut
- kontrol
- kunne
- skabe
- kritisk
- Kritisk infrastruktur
- cusp
- kunde
- Cyber
- Cyber angreb
- Cybersecurity
- data
- Dato
- Dage
- leverer
- indsætte
- indsat
- desktop
- Enheder
- DID
- direkte
- Ved
- downloade
- ende
- miljøer
- udførelse
- Exploit
- udnyttelse
- Exploited
- exploits
- udsat
- udvidelser
- konfronteret
- File (Felt)
- Filer
- Markeret
- Til
- Foundation
- fra
- Gevinst
- få
- godt
- Regering
- Gruppens
- hackere
- Have
- horisont
- sygehuse
- Hvordan
- HTTPS
- Hundreder
- identificere
- in
- hændelse
- Herunder
- faktisk
- angiver
- Indikatorer
- Infrastruktur
- initial
- indlede
- indvendig
- installation
- instans
- institutioner
- Intelligens
- hensigt
- grænseflade
- Internet
- ind
- spørgsmål
- Udstedt
- IT
- ITS
- jpg
- Holde
- Kyle
- mindst
- løftestang
- Li
- licenser
- Sandsynlig
- forbundet
- Børsnoterede
- lokale
- Lokal regering
- placeret
- leder
- maskine
- Maskiner
- større
- Flertal
- ondsindet
- malware
- lykkedes
- ledelse
- Masse
- Kan..
- I mellemtiden
- afbødning
- Mandag
- overvågning
- flere
- netværk
- Ny
- nyheder
- ingen
- bemærke
- nu
- of
- on
- engang
- ONE
- på
- åbent
- or
- Andre
- vores
- ud
- parret
- patch
- Patches
- perron
- plato
- Platon Data Intelligence
- PlatoData
- spillet
- PoC
- klar
- Indlæg
- potentiale
- Forbered
- tilstedeværelse
- prævalens
- privilegier
- Program
- beskyttelse
- gennemprøvet
- udbydere
- Pushing
- hurtigt
- Rampe
- ransomware
- RE
- fjern
- Remote Access
- Rapportering
- Rapporter
- forskere
- Risiko
- Rullende
- rod
- kører
- s
- Said
- siger
- Anden
- sikkerhed
- sikkerhedssårbarhed
- set
- Salg
- sensorer
- Servere
- tjeneste
- service-udøvere
- sæt
- flere
- Shadowserver Foundation
- Shop
- bør
- signaler
- lignende
- So
- Software
- Kilde
- Sponsoreret
- starte
- påbegyndt
- Tilstand
- erklærede
- Stadig
- opbevaret
- sådan
- foreslår
- forsyne
- forsyningskæde
- support
- mistænksom
- hurtigt
- systemet
- Systemer
- tech
- ti
- at
- deres
- Them
- Der.
- de
- denne
- dem
- selvom?
- tusinde
- tusinder
- trussel
- trusselsaktører
- tid
- til
- fortalt
- værktøj
- Sporing
- betroet
- Tirsdag
- uberettiget
- under
- opad
- us
- brug
- anvendte
- Bruger
- ved brug af
- forskellige
- Ve
- udgave
- versioner
- Victim
- Sårbarheder
- sårbarhed
- Sårbar
- advarede
- advarsel
- we
- Onsdag
- var
- som
- mens
- WHO
- bredt
- Wild
- vilje
- villig
- med
- inden for
- arbejder
- virker
- værre
- zephyrnet