Apenas unos días después de que los informes iniciales de explotación comenzaran a llegar durante un tiempo vulnerabilidad de seguridad crítica en ConnectWise ScreenConnect servicio de administración de escritorio remoto, los investigadores advierten que podría estallar un ataque a la cadena de suministro de proporciones descomunales.
Una vez que se exploten los errores, los piratas informáticos obtendrán acceso remoto a "más de diez mil servidores que controlan cientos de miles de puntos finales", dijo el director ejecutivo de Huntress, Kyle Hanslovan, en un comentario enviado por correo electrónico, y opinó que es hora de prepararse para "el mayor incidente de ciberseguridad de 2024". .”
El soporte técnico y otras personas pueden utilizar ScreenConnect para autenticarse en una máquina como si fueran el usuario. Como tal, podría permitir que los actores de amenazas se infiltren en puntos finales de alto valor y exploten sus privilegios.
Peor aún, la aplicación es ampliamente utilizada por proveedores de servicios gestionados (MSP) para conectarse a entornos de clientes, por lo que también puede abrir la puerta a actores de amenazas que buscan utilizar esos MSP para acceso descendente, similar a tsunami de ataques de Kaseya que enfrentaron las empresas en 2021.
Los errores de ConnectWise obtienen CVE
ConnectWise reveló los errores el lunes sin CVE, después de lo cual rápidamente aparecieron exploits de prueba de concepto (PoC). El martes, ConnectWise advirtió que los errores estaban bajo un ciberataque activo. El miércoles, varios investigadores informaban de una creciente actividad cibernética.
Las vulnerabilidades ahora tienen CVE de seguimiento. Uno de ellos es una omisión de autenticación de máxima gravedad (CVE-2024-1709, CVSS 10), que permite a un atacante con acceso de red a la interfaz de administración crear una nueva cuenta de nivel de administrador en los dispositivos afectados. Se puede combinar con un segundo error, un problema de recorrido de ruta (CVE-2024-1708, CVSS 8.4) que permite el acceso no autorizado a archivos.
Los corredores de acceso inicial aumentan la actividad
Según la Fundación Shadowserver, hay al menos 8,200 instancias vulnerables de la plataforma expuestas a Internet dentro de su telemetría, la mayoría de ellas ubicadas en Estados Unidos.
"CVE-2024-1709 está ampliamente explotado en la naturaleza: 643 IP atacadas hasta la fecha por nuestros sensores", dijo en una publicación de LinkedIn.
Los investigadores de Huntress dijeron que una fuente dentro de la comunidad de inteligencia de EE. UU. les dijo que corredores de acceso inicial (IAB) han comenzado a aprovechar los errores para instalarse dentro de varios puntos finales, con la intención de vender ese acceso a grupos de ransomware.
Y, de hecho, en un caso, Huntress observó que los ciberatacantes utilizaban las vulnerabilidades de seguridad para implementar ransomware en un gobierno local, incluidos puntos finales probablemente vinculados a los sistemas del 911.
"La gran prevalencia de este software y el acceso que ofrece esta vulnerabilidad indican que estamos en la cúspide de un ransomware libre para todos", dijo Hanslovan. "Se ha demostrado que los hospitales, la infraestructura crítica y las instituciones estatales están en riesgo".
Y añadió: "Y una vez que empiecen a impulsar sus cifradores de datos, estaría dispuesto a apostar que el 90% del software de seguridad preventiva no los detectará porque provienen de una fuente confiable".
Mientras tanto, los investigadores de Bitdefender corroboraron la actividad y señalaron que los actores de amenazas están utilizando extensiones maliciosas para implementar un descargador capaz de instalar malware adicional en las máquinas comprometidas.
"Hemos notado varios casos de ataques potenciales que aprovechan la carpeta de extensiones de ScreenConnect, [mientras que las herramientas de seguridad] sugieren la presencia de un descargador basado en la herramienta integrada certutil.exe", según un Publicación del blog de Bitdefender sobre la actividad cibernética de ConnectWise. "Los actores de amenazas suelen emplear esta herramienta... para iniciar la descarga de cargas maliciosas adicionales en el sistema de la víctima".
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado los errores a su Catálogo de vulnerabilidades explotadas conocidas.
Mitigación para CVE-2024-1709, CVE-2024-1708
Las versiones locales hasta la 23.9.7 inclusive son vulnerables, por lo que la mejor protección es identificar todos los sistemas donde se implementa ConnectWise ScreenConnect y aplicar los parches emitidos con ScreenConnect versión 23.9.8.
Las organizaciones también deben estar atentas a los indicadores de compromiso (IoC) enumerados por ConnectWise en su aviso. Los investigadores de Bitdefender recomiendan monitorear la carpeta “C:Program Files (x86)ScreenConnectApp_Extensions”; Bitdefender señaló que cualquier archivo .ashx y .aspx sospechoso almacenado directamente en la raíz de esa carpeta puede indicar una ejecución de código no autorizada.
Además, podría haber buenas noticias en el horizonte: “ConnectWise declaró que revocaron las licencias para servidores sin parches y, aunque no está claro por nuestra parte cómo funciona esto, parece que esta vulnerabilidad sigue siendo una preocupación importante para cualquiera que ejecute una versión vulnerable o quién la haya ejecutado. No parchear rápidamente”, agregaron los investigadores de Bitdefender. "Esto no quiere decir que las acciones de ConnectWise no estén funcionando, no estamos seguros de cómo se desarrolló en este momento".
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
- :posee
- :es
- :no
- :dónde
- $ UP
- 10
- 200
- 2021
- 2024
- 23
- 7
- 8
- 9
- a
- de la máquina
- Conforme
- Mi Cuenta
- acciones
- lector activo
- actividad
- los actores
- adicional
- Adicionales
- asesor
- defensor
- afectado
- proporcionado
- Después
- Todos
- permitir
- permite
- también
- an
- y
- e infraestructura
- cualquier
- nadie
- Aparecido
- aparece
- Aplicación
- La aplicación de
- somos
- AS
- At
- atacar
- agresor
- Atacar
- ataques
- autenticar
- Autenticación
- basado
- BE
- porque
- MEJOR
- Bet
- Mayor
- Blog
- corredores
- Error
- loco
- incorporado
- negocios
- by
- evitar
- PUEDEN
- capaz
- lucha
- ceo
- cadena
- código
- viniendo
- comentario
- comúnmente
- vibrante e inclusiva
- compromiso
- Comprometida
- Protocolo de Tratamiento
- Contacto
- control
- podría
- Para crear
- crítico
- Infraestructura crítica
- Cúspide
- cliente
- ciber
- Ataque cibernetico
- La Ciberseguridad
- datos
- Fecha
- Días
- entrega
- desplegar
- desplegado
- computadora de escritorio
- Dispositivos
- HIZO
- directamente
- Puerta
- descargar
- final
- ambientes
- ejecución
- Explotar
- explotación
- Explotado
- exploits
- expuesto
- extensiones
- enfrentado
- Archive
- archivos
- marcado
- Fundación
- Desde
- Obtén
- obtener
- candidato
- Gobierno
- Grupo
- los piratas informáticos
- Tienen
- horizonte
- hospitales
- Cómo
- HTTPS
- Cientos
- identificar
- in
- incidente
- Incluye
- en efecto
- indicar
- indicadores
- EN LA MINA
- inicial
- iniciar
- dentro
- instalando
- ejemplo
- instituciones
- Intelligence
- intención
- Interfaz
- Internet
- dentro
- Emitido
- IT
- SUS
- jpg
- Guardar
- kyle
- menos
- aprovechando
- Li
- licencias
- que otros
- vinculado
- Etiqueta LinkedIn
- Listado
- local
- Gobierno local
- situados
- mirando
- máquina
- Máquinas
- gran
- Mayoría
- malicioso
- el malware
- gestionado
- Management
- Misa
- Puede..
- Mientras tanto
- mitigación
- Lunes
- monitoreo
- múltiples
- del sistema,
- Nuevo
- noticias
- no
- señalando
- ahora
- of
- on
- una vez
- ONE
- sobre
- habiertos
- or
- Otros
- nuestros
- salir
- emparejado
- Patch
- Parches
- plataforma
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- jugado
- PoC
- listo
- Publicación
- posible
- Preparar
- presencia
- predominio
- privilegios
- Programa
- Protección
- probado
- los proveedores
- Emprendedor
- con rapidez
- Rampa
- ransomware
- RE
- sanaciones
- acceso remoto
- Informes
- Informes
- investigadores
- Riesgo
- Rolling
- raíz
- correr
- s
- Said
- dices
- Segundo
- EN LINEA
- vulnerabilidad de seguridad
- visto
- vender
- sensor
- Servidores
- de coches
- proveedores de servicios
- set
- Varios
- Fundación Shadowserver
- Tienda
- tienes
- señales
- similares
- So
- Software
- Fuente
- Patrocinado
- comienzo
- fundó
- Estado
- dijo
- Sin embargo
- almacenados
- tal
- Sugiere
- suministro
- cadena de suministro
- SOPORTE
- suspicaz
- rápidamente
- te
- Todas las funciones a su disposición
- tecnología
- diez
- esa
- La
- su
- Les
- Ahí.
- ellos
- así
- aquellos
- ¿aunque?
- mil
- miles
- amenaza
- actores de amenaza
- equipo
- a
- les dijo a
- del IRS
- Seguimiento
- de confianza
- Martes
- no autorizado
- bajo
- hacia arriba
- us
- utilizan el
- usado
- Usuario
- usando
- diversos
- Ve
- versión
- versiones
- Víctima
- Vulnerabilidades
- vulnerabilidad
- Vulnerable
- prevenido
- advertencia
- we
- Miércoles
- tuvieron
- que
- mientras
- QUIENES
- extensamente
- Wild
- seguirá
- dispuestas
- dentro de
- trabajando
- funciona
- peor
- zephyrnet