Kritischer ConnectWise RMM-Fehler steht vor einer Exploitation-Lawine

Benutzer des Remote-Desktop-Verwaltungstools ConnectWise ScreenConnect sind einem aktiven Cyberangriff ausgesetzt, nachdem ein Proof-of-Concept (PoC)-Exploit für eine äußerst kritische Sicherheitslücke in der Plattform aufgetaucht ist. Forscher warnen, dass die Situation zu einer Massenkompromittierung führen könnte.

ScreenConnect kann vom technischen Support und anderen verwendet werden, um sich bei einem Computer zu authentifizieren, als wären sie der Benutzer. Somit bietet es Bedrohungsakteuren einen Kanal, die hochwertige Endpunkte und alle anderen Bereiche von Unternehmensnetzwerken infiltrieren möchten, auf die sie möglicherweise Zugriff haben.

Kritische Umgehung der ScreenConnect-Authentifizierung

In einer Mitteilung vom Montag ConnectWise hat eine Authentifizierungsumgehung offengelegt mit einem Wert von 10 von 10 auf der CVSS-Schweregradskala für Sicherheitslücken; Es öffnet nicht nur die Eingangstür zu Ziel-Desktops, sondern ermöglicht es Angreifern auch, einen zweiten Fehler zu erreichen, der ebenfalls am Montag bekannt gegeben wurde. Dabei handelt es sich um ein Path-Traversal-Problem (CVSS 8.4), das unbefugten Dateizugriff ermöglicht.

„Diese Schwachstelle ermöglicht es einem Angreifer, einen eigenen Administratorbenutzer auf dem ScreenConnect-Server zu erstellen, wodurch er die volle Kontrolle über den Server erhält“, sagte James Horseman, Entwickler des Horizon3.ai-Exploits, heute in einem Blog enthält technische Details zur Authentifizierungsumgehung und Indikatoren für Kompromisse (IoC). „Diese Schwachstelle knüpft an andere aktuelle Schwachstellen an, die es Angreifern ermöglichen, Anwendungen neu zu initialisieren oder nach der Einrichtung erste Benutzer zu erstellen.“

Am Dienstag aktualisierte ConnectWise seine Empfehlung, um die aktive Ausnutzung der Probleme zu bestätigen, für die es noch keine CVEs gibt: „Wir haben Updates zu kompromittierten Konten erhalten, die unser Incident-Response-Team untersuchen und bestätigen konnte.“ Außerdem wurde eine umfangreiche Liste von IoCs hinzugefügt.

Unterdessen bestätigte Piotr Kijewski, CEO der Shadowserver Foundation, erste Nutzungsanfragen in den Honeypot-Sensoren der gemeinnützigen Organisation.

„Überprüfen Sie, ob Anzeichen einer Kompromittierung vorliegen (z. B. neue Benutzer hinzugefügt) und führen Sie einen Patch durch!“ Er betonte über die Mailingliste Shadowserver und fügte hinzu, dass am Dienstag immer noch 93 % der ScreenConnect-Instanzen angreifbar seien (etwa 3,800 Installationen), die meisten davon in den USA.

Die Schwachstellen betreffen ScreenConnect-Versionen 23.9.7 und früher und betreffen insbesondere selbstgehostete oder lokale Installationen; Cloud-Kunden, die ScreenConnect-Server auf den Domänen „screenconnect.com“ oder „hostedrmm.com“ hosten, sind nicht betroffen.

Erwarten Sie ConnectWise Exploitation to Snowball

Obwohl es derzeit nur wenige Ausnutzungsversuche gibt, sagte Mike Walters, Präsident und Mitbegründer von Action1, in einem per E-Mail verschickten Kommentar, dass Unternehmen mit „erheblichen Auswirkungen auf die Sicherheit“ der ConnectWise-Fehler rechnen müssen.

Walters, der auch die Ausnutzung der Schwachstellen in freier Wildbahn bestätigte, sagte, er rechne möglicherweise mit „Tausenden kompromittierten Instanzen“. Die Probleme können jedoch auch zu einem weitreichenden Angriff auf die Lieferkette führen, bei dem Angreifer Managed Security Service Provider (MSSPs) infiltrieren und sich dann auf deren Geschäftskunden konzentrieren.

Er erklärte: „Der massive Angriff, der diese Schwachstellen ausnutzt, könnte dem ähneln Ausnutzung der Kaseya-Schwachstelle im Jahr 2021, da ScreenConnect ein sehr beliebtes RMM [Fernverwaltungs- und Überwachungstool] bei MSPs und MSSPs ist und zu vergleichbaren Schäden führen könnte.“

Bisher haben sowohl Huntress-Forscher als auch Forscher des Horizon3-Angriffsteams öffentlich PoCs für die Fehler veröffentlicht, und weitere werden mit Sicherheit folgen.

Um sich zu schützen, sollten ConnectWise SmartScreen-Administratoren sofort ein Upgrade auf Version 23.9.8 durchführen, um ihre Systeme zu patchen, und dann die bereitgestellten IoCs verwenden, um nach Anzeichen einer Ausnutzung zu suchen.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/remote-workforce/critical-connectwise-rmm-bug-poised-exploitation-avalanche