Nur wenige Tage nachdem die ersten Ausbeutungsberichte eintrafen Kritische Sicherheitslücke im ConnectWise ScreenConnect Forscher warnen, dass aufgrund des Remote-Desktop-Verwaltungsdienstes ein Lieferkettenangriff übergroßen Ausmaßes bevorstehen könnte.
Sobald die Fehler ausgenutzt werden, erhalten Hacker Fernzugriff auf „mehr als zehntausend Server, die Hunderttausende Endpunkte steuern“, sagte Kyle Hanslovan, CEO von Huntress, in einem Kommentar per E-Mail und meinte, es sei an der Zeit, sich auf „den größten Cybersicherheitsvorfall des Jahres 2024“ vorzubereiten .“
ScreenConnect kann vom technischen Support und anderen verwendet werden, um sich bei einem Computer zu authentifizieren, als wären sie der Benutzer. Dadurch könnten Bedrohungsakteure in die Lage versetzt werden, hochwertige Endpunkte zu infiltrieren und deren Privilegien auszunutzen.
Schlimmer noch: Die Anwendung wird häufig von Managed Service Providern (MSP) verwendet, um sich mit Kundenumgebungen zu verbinden, sodass sie auch Bedrohungsakteuren Tür und Tor öffnen kann, die diese MSPs für den Downstream-Zugriff nutzen möchten, ähnlich wie bei Tsunami von Kaseya-Angriffen mit denen Unternehmen im Jahr 2021 konfrontiert waren.
ConnectWise Bugs Holen Sie sich CVEs
ConnectWise hat die Fehler am Montag ohne CVEs offengelegt, woraufhin schnell Proof-of-Concept (PoC)-Exploits auftauchten. Am Dienstag warnte ConnectWise, dass die Fehler einem aktiven Cyberangriff ausgesetzt seien. Bis Mittwoch berichteten mehrere Forscher über zunehmende Cyber-Aktivitäten.
Die Schwachstellen verfügen nun über Tracking-CVEs. Eine davon ist eine Authentifizierungsumgehung mit maximalem Schweregrad (CVE-2024-1709, CVSS 10), die es einem Angreifer mit Netzwerkzugriff auf die Verwaltungsschnittstelle ermöglicht, auf betroffenen Geräten ein neues Konto auf Administratorebene zu erstellen. Es kann mit einem zweiten Fehler einhergehen, einem Path-Traversal-Problem (CVE-2024-1708, CVSS 8.4), das unbefugten Dateizugriff ermöglicht.
Erstzugangsmakler steigern ihre Aktivität
Nach Angaben der Shadowserver Foundation gibt es in ihrer Telemetrie mindestens 8,200 anfällige Instanzen der Plattform, die dem Internet ausgesetzt sind, wobei sich die meisten davon in den USA befinden.
„CVE-2024-1709 wird in freier Wildbahn häufig ausgenutzt: 643 IPs wurden bisher von unseren Sensoren als Angriffe registriert“, heißt es sagte in einem LinkedIn-Beitrag.
Huntress-Forscher sagten, eine Quelle innerhalb des US-Geheimdienstes habe ihnen das mitgeteilt Initial Access Brokers (IABs) haben begonnen, die Fehler auszunutzen, um sich auf verschiedenen Endpunkten einzunisten, mit der Absicht, diesen Zugriff an Ransomware-Gruppen zu verkaufen.
Und tatsächlich beobachtete Huntress in einem Fall, dass Cyberangreifer die Sicherheitslücken nutzten, um Ransomware an eine lokale Regierung zu verteilen, einschließlich Endpunkten, die wahrscheinlich mit 911-Systemen verbunden sind.
„Die schiere Verbreitung dieser Software und der Zugriff, den diese Schwachstelle ermöglicht, signalisieren, dass wir an der Schwelle zu einer Ransomware stehen, die jeder für sich nutzen kann“, sagte Hanslovan. „Krankenhäuser, kritische Infrastrukturen und staatliche Institutionen sind nachweislich gefährdet.“
Er fügte hinzu: „Und sobald sie anfangen, ihre Datenverschlüsselungsprogramme voranzutreiben, würde ich wetten, dass 90 % der präventiven Sicherheitssoftware sie nicht abfangen, weil sie von einer vertrauenswürdigen Quelle stammen.“
Bitdefender-Forscher bestätigten unterdessen die Aktivität und stellten fest, dass Bedrohungsakteure bösartige Erweiterungen verwenden, um einen Downloader bereitzustellen, der zusätzliche Malware auf gefährdeten Computern installieren kann.
„Wir haben mehrere Fälle potenzieller Angriffe bemerkt, die den Erweiterungsordner von ScreenConnect ausnutzen, [während Sicherheitstools] auf die Anwesenheit eines Downloaders schließen lassen, der auf dem integrierten Tool certutil.exe basiert“, so a Bitdefender-Blogbeitrag zur ConnectWise-Cyberaktivität. „Bedrohungsakteure nutzen dieses Tool häufig, um den Download zusätzlicher bösartiger Payloads auf das System des Opfers zu veranlassen.“
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat die Fehler zu ihrem hinzugefügt Katalog bekannter ausgenutzter Schwachstellen.
Schadensbegrenzung für CVE-2024-1709, CVE-2024-1708
Lokale Versionen bis einschließlich 23.9.7 sind anfällig. Der beste Schutz besteht daher darin, alle Systeme zu identifizieren, auf denen ConnectWise ScreenConnect bereitgestellt wird, und die damit ausgegebenen Patches anzuwenden ScreenConnect-Version 23.9.8.
Unternehmen sollten außerdem nach den von ConnectWise in seiner Empfehlung aufgeführten Indikatoren für eine Kompromittierung (Indicators of Compromise, IoCs) Ausschau halten. Bitdefender-Forscher plädieren für die Überwachung des Ordners „C:Program Files (x86)ScreenConnectApp_Extensions“; Bitdefender hat darauf hingewiesen, dass alle verdächtigen .ashx- und .aspx-Dateien, die direkt im Stammverzeichnis dieses Ordners gespeichert sind, auf eine unbefugte Codeausführung hinweisen könnten.
Außerdem könnte es gute Nachrichten am Horizont geben: „ConnectWise gab an, dass sie Lizenzen für ungepatchte Server widerrufen haben, und obwohl wir von unserer Seite aus unklar sind, wie das funktioniert, scheint diese Schwachstelle immer noch ein großes Problem für jeden zu sein, der eine anfällige Version betreibt oder wer das getan hat.“ nicht schnell gepatcht“, fügten die Bitdefender-Forscher hinzu. „Das soll nicht heißen, dass die Maßnahmen von ConnectWise nicht funktionieren. Wir sind uns derzeit nicht sicher, wie sich das ausgewirkt hat.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
- :hast
- :Ist
- :nicht
- :Wo
- $UP
- 10
- 200
- 2021
- 2024
- 23
- 7
- 8
- 9
- a
- Zugang
- Nach
- Konto
- Aktionen
- aktiv
- Aktivität
- Akteure
- hinzugefügt
- Zusätzliche
- beratend
- Anwalt
- betroffen
- gewährt
- Nach der
- Agentur
- Alle
- erlauben
- erlaubt
- ebenfalls
- an
- und
- und Infrastruktur
- jedem
- jemand
- erschienen
- erscheint
- Anwendung
- Anwendung
- SIND
- AS
- At
- Attacke
- Angreifer
- Offensives
- Anschläge
- authentifizieren
- Authentifizierung
- basierend
- BE
- weil
- BESTE
- Wette
- Größte
- Blog
- Broker
- Fehler
- Bugs
- eingebaut
- Unternehmen
- by
- umgehen
- CAN
- fähig
- Ringen
- CEO
- Kette
- Code
- Kommen
- Kommentar
- häufig
- community
- Kompromiss
- Kompromittiert
- Hautpflegeprobleme
- Vernetz Dich
- Smartgeräte App
- könnte
- erstellen
- kritischem
- Kritische Infrastruktur
- Höcker
- Kunde
- Cyber-
- Cyber Attacke
- Internet-Sicherheit
- technische Daten
- Datum
- Tage
- liefert
- einsetzen
- Einsatz
- Desktop
- Geräte
- DID
- Direkt
- Von
- herunterladen
- Ende
- Umgebungen
- Ausführung
- Ausnutzen
- Ausbeutung
- Exploited
- Abenteuer
- ausgesetzt
- Erweiterungen
- konfrontiert
- Reichen Sie das
- Mappen
- markiert
- Aussichten für
- Foundation
- für
- Gewinnen
- bekommen
- gut
- der Regierung
- Gruppen
- Hacker
- Haben
- Horizont
- Krankenhäuser
- Ultraschall
- HTTPS
- hunderte
- Identifizierung
- in
- Zwischenfall
- Einschließlich
- in der Tat
- zeigen
- Anzeigen
- Infrastruktur
- Anfangs-
- initiieren
- innerhalb
- Installieren
- Instanz
- Institutionen
- Intelligenz
- Absicht
- Schnittstelle
- Internet
- in
- Problem
- Herausgegeben
- IT
- SEINE
- jpg
- Behalten
- kyle
- am wenigsten
- Nutzung
- Li
- Lizenzen
- wahrscheinlich
- verknüpft
- Gelistet
- aus einer regionalen
- Kommunalverwaltung
- located
- suchen
- Maschine
- Maschinen
- Dur
- Mehrheit
- böswilligen
- Malware
- verwaltet
- Management
- Masse
- Kann..
- Mittlerweile
- Milderung
- Montag
- Überwachung
- mehrere
- Netzwerk
- Neu
- News
- nicht
- Bemerkens
- jetzt an
- of
- on
- einmal
- EINEM
- auf zu
- XNUMXh geöffnet
- or
- Anders
- UNSERE
- gepaart
- Patch
- Patches
- Plattform
- Plato
- Datenintelligenz von Plato
- PlatoData
- gespielt
- PoC
- balanciert
- Post
- Potenzial
- Danach
- Präsenz
- Prävalenz
- Privilegien
- Programm
- Sicherheit
- zuverlässig
- Anbieter
- Schieben
- schnell
- Rampe
- Ransomware
- RE
- entfernt
- Fernzugriff
- Reporting
- Meldungen
- Forscher
- Risiko
- Wenden
- Wurzel
- Laufen
- s
- Said
- Zweite
- Sicherheitdienst
- Sicherheitslücke
- gesehen
- in XNUMX Minuten
- Sensoren
- Fertige Server
- Dienstleister
- kompensieren
- mehrere
- Schattenserver-Stiftung
- Shop
- sollte
- Signale
- ähnlich
- So
- Software
- Quelle
- Sponsored
- Anfang
- begonnen
- Bundesstaat
- angegeben
- Immer noch
- gelagert
- so
- Schlägt vor
- liefern
- Supply Chain
- Support
- misstrauisch
- schnell
- System
- Systeme und Techniken
- Tech
- zehn
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- Dort.
- vom Nutzer definierten
- fehlen uns die Worte.
- diejenigen
- obwohl?
- tausend
- Tausende
- Bedrohung
- Bedrohungsakteure
- Zeit
- zu
- sagte
- Werkzeug
- Tracking
- vertraut
- Dienstag
- unbefugt
- für
- nach oben
- us
- -
- benutzt
- Mitglied
- Verwendung von
- verschiedene
- Ve
- Version
- Versionen
- Opfer
- Sicherheitslücken
- Verwundbarkeit
- Verwundbar
- gewarnt
- Warnung
- we
- Wednesday
- waren
- welche
- während
- WHO
- weit
- Wild
- werden wir
- bereit
- mit
- .
- arbeiten,
- Werk
- schlimmer
- Zephyrnet