Los usuarios de la herramienta de administración de escritorio remoto ConnectWise ScreenConnect están bajo un ciberataque activo, luego de que surgiera un exploit de prueba de concepto (PoC) para una vulnerabilidad de seguridad de máxima crítica en la plataforma. La situación tiene el potencial de convertirse en un evento de compromiso masivo, advierten los investigadores.
El soporte técnico y otras personas pueden utilizar ScreenConnect para autenticarse en una máquina como si fueran el usuario. Como tal, ofrece un conducto para los actores de amenazas que buscan infiltrarse en puntos finales de alto valor y cualquier otra área de las redes corporativas a las que puedan tener acceso.
Omisión de autenticación crítica de ScreenConnect
En un aviso del lunes, ConnectWise reveló una omisión de autenticación tener una puntuación de 10 sobre 10 en la escala de gravedad de vulnerabilidad CVSS; Además de abrir la puerta de entrada a los escritorios específicos, permite a los atacantes encontrar un segundo error, también revelado el lunes, que es un problema de recorrido de ruta (CVSS 8.4) que permite el acceso no autorizado a archivos.
"Esta vulnerabilidad permite a un atacante crear su propio usuario administrativo en el servidor ScreenConnect, dándole control total sobre el servidor", dijo James Horseman, desarrollador del exploit Horizon3.ai, en un blog hoy que proporciona detalles técnicos sobre la omisión de autenticación e indicadores de compromiso (IoC). "Esta vulnerabilidad sigue un tema de otras vulnerabilidades recientes que permiten a los atacantes reinicializar aplicaciones o crear usuarios iniciales después de la configuración".
El martes, ConnectWise actualizó su aviso para confirmar la explotación activa de los problemas, que aún no tienen CVE: "Recibimos actualizaciones de cuentas comprometidas que nuestro equipo de respuesta a incidentes pudo investigar y confirmar". También agregó una lista extensa de IoC.
Mientras tanto, Piotr Kijewski, director ejecutivo de la Fundación Shadowserver, confirmó haber visto solicitudes de explotación iniciales en los sensores honeypot de la organización sin fines de lucro.
"¡Compruebe si hay signos de compromiso (como la adición de nuevos usuarios) y aplique el parche!" subrayó a través de la lista de correo de Shadowserver, y agregó que hasta el martes, un 93% de las instancias de ScreenConnect todavía eran vulnerables (alrededor de 3,800 instalaciones), la mayoría de ellas ubicadas en los EE. UU.
Las vulnerabilidades afectan a las versiones 23.9.7 y anteriores de ScreenConnect, y afectan específicamente a las instalaciones autohospedadas o locales; Los clientes de la nube que alojan servidores ScreenConnect en los dominios “screenconnect.com” o “hostedrmm.com” no se ven afectados.
Espere que la explotación de ConnectWise se convierta en una bola de nieve
Si bien los intentos de explotación son de bajo volumen en este momento, Mike Walters, presidente y cofundador de Action1, dijo en un comentario enviado por correo electrónico que las empresas deberían esperar "importantes implicaciones de seguridad" de los errores de ConnectWise.
Walters, quien también confirmó la explotación natural de las vulnerabilidades, dijo que esperaba, potencialmente, "miles de instancias comprometidas". Pero los problemas también tienen el potencial de convertirse en un ataque de amplio alcance a la cadena de suministro en el que los atacantes se infiltran en los proveedores de servicios de seguridad administrados (MSSP) y luego se dirigen a sus clientes comerciales.
Explicó: "El ataque masivo que explota estas vulnerabilidades puede ser similar al Explotación de la vulnerabilidad de Kaseya en 2021, ya que ScreenConnect es un RMM [herramienta de supervisión y gestión remota] muy popular entre los MSP y MSSP, y podría provocar daños comparables”.
Hasta ahora, tanto los investigadores de Huntress como los investigadores del equipo de ataque de Horizon3 han publicado PoC para los errores, y seguramente otros seguirán.
Para protegerse, los administradores de ConnectWise SmartScreen deben actualizar a la versión 23.9.8 inmediatamente para parchear sus sistemas y luego usar los IoC proporcionados para buscar signos de explotación.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/remote-workforce/critical-connectwise-rmm-bug-poised-exploitation-avalanche
- :posee
- :es
- :no
- $ UP
- 10
- 23
- 7
- 8
- 800
- 9
- a
- Poder
- Nuestra Empresa
- de la máquina
- Cuentas
- lector activo
- los actores
- adicional
- la adición de
- administrativo
- asesor
- afectar
- afectado
- Después
- AI
- permitir
- permite
- también
- entre
- an
- y
- cualquier
- aplicaciones
- somos
- áreas
- AS
- At
- atacar
- agresor
- Los intentos
- Auth
- autenticar
- Autenticación
- Avalancha
- BE
- esto
- además de
- Blog
- volar
- ambas
- Error
- loco
- clientes comerciales
- negocios
- pero
- by
- evitar
- PUEDEN
- .
- ceo
- cadena
- comprobar
- Soluciones
- Co-founder
- COM
- comentario
- comparable
- compromiso
- Comprometida
- Confirmar
- Confirmado
- control
- Sector empresarial
- podría
- Para crear
- crítico
- Clientes
- Ataque cibernetico
- dañar
- computadora de escritorio
- detalles
- Developer
- dominios
- don
- Puerta
- Más temprano
- Evento
- esperar
- explicado
- Explotar
- explotación
- explotando
- en los detalles
- muchos
- Archive
- seguir
- siguiente
- Fundación
- Desde
- frontal o trasero
- ser completados
- Diezmos y Ofrendas
- Tienen
- he
- hosting
- HTTPS
- Caza
- inmediatamente
- implicaciones
- in
- incidente
- respuesta al incidente
- indicadores
- inicial
- dentro
- investigar
- cuestiones
- IT
- SUS
- james
- jpg
- como
- Lista
- situados
- mirando
- máquina
- envío
- gestionado
- Management
- Misa
- masivo
- Puede..
- podría
- micro
- momento
- Lunes
- monitoreo
- MEJOR DE TU
- telecomunicaciones
- Nuevo
- usuarios nuevos
- Organización sin fines de lucro
- of
- Ofertas
- on
- apertura
- or
- Otro
- Otros
- nuestros
- salir
- Más de
- EL DESARROLLADOR
- Patch
- Pivot
- plataforma
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- PoC
- listo
- Popular
- posible
- la posibilidad
- presidente
- proteger
- previsto
- los proveedores
- en público
- en comunicarse
- recibido
- reciente
- liberado
- sanaciones
- solicitudes
- investigadores
- respuesta
- resultado
- s
- Said
- Escala
- Puntuación
- Segundo
- EN LINEA
- vulnerabilidad de seguridad
- ver
- sensor
- servidor
- Servidores
- de coches
- proveedores de servicios
- Configure
- Fundación Shadowserver
- tienes
- importante
- Letreros y Pancartas
- similares
- situación
- específicamente
- Patrocinado
- Sin embargo
- tal
- suministro
- cadena de suministro
- SOPORTE
- seguro
- Todas las funciones a su disposición
- afectados
- equipo
- tecnología
- Técnico
- esa
- La
- su
- Les
- tema
- sí mismos
- luego
- Estas
- ellos
- así
- ¿aunque?
- miles
- amenaza
- actores de amenaza
- a
- hoy
- del IRS
- Martes
- no autorizado
- bajo
- actualizado
- Actualizaciones
- actualizar
- us
- utilizan el
- usado
- Usuario
- usuarios
- versión
- versiones
- muy
- vía
- Vulnerabilidades
- vulnerabilidad
- Vulnerable
- advertencia
- we
- tuvieron
- que
- QUIENES
- aún
- zephyrnet