اشکال حیاتی ConnectWise RMM برای بهمن بهره برداری آماده شده است

اشکال حیاتی ConnectWise RMM برای بهمن بهره برداری آماده شده است

تمبر زمان: 21 فوریه 2024، ساعت 3:59 بعد از ظهر
اشکال حیاتی ConnectWise RMM برای بهره‌برداری از هوش داده PlatoBlockchain بهمن آماده شده است. جستجوی عمودی Ai.

کاربران ابزار مدیریت دسکتاپ از راه دور ConnectWise ScreenConnect تحت حمله سایبری فعال هستند، پس از اینکه یک سوء استفاده اثبات مفهوم (PoC) برای یک آسیب پذیری امنیتی حداکثر بحرانی در پلتفرم ظاهر شد. محققان هشدار می دهند که این وضعیت پتانسیل آن را دارد که به یک رویداد سازش جمعی منفجر شود.

ScreenConnect را می‌توان توسط پشتیبانی فنی و سایرین برای احراز هویت در یک ماشین به‌گونه‌ای استفاده کرد که گویی آن‌ها کاربر هستند. به این ترتیب، مجرای برای عوامل تهدید کننده ای که به دنبال نفوذ به نقاط پایانی با ارزش بالا و هر منطقه دیگری از شبکه های شرکتی هستند که ممکن است به آن دسترسی داشته باشند، ارائه می دهد.

بای پس احراز هویت Critical ScreenConnect

در مشاوره روز دوشنبه، ConnectWise یک بای پس احراز هویت را فاش کرد کسب امتیاز 10 از 10 در مقیاس شدت آسیب پذیری CVSS. علاوه بر باز کردن درب جلو به روی دسکتاپ‌های هدفمند، به مهاجمان اجازه می‌دهد تا به یک باگ دوم نیز برسند، که دوشنبه نیز فاش شد، که یک مشکل پیمایش مسیر (CVSS 8.4) است که امکان دسترسی غیرمجاز به فایل را فراهم می‌کند.

جیمز هورسمن، توسعه‌دهنده اکسپلویت Horizon3.ai، امروز در وبلاگی گفت: «این آسیب‌پذیری به مهاجم اجازه می‌دهد تا کاربر مدیریتی خود را در سرور ScreenConnect ایجاد کند و به آنها کنترل کامل روی سرور بدهد.» جزئیات فنی در بای پس احراز هویت را ارائه می دهد و شاخص های سازش (IoC). این آسیب‌پذیری از موضوع آسیب‌پذیری‌های اخیر پیروی می‌کند که به مهاجمان اجازه می‌دهد برنامه‌ها را مجدداً راه‌اندازی کنند یا کاربران اولیه را پس از راه‌اندازی ایجاد کنند.»

روز سه‌شنبه، ConnectWise توصیه‌های خود را برای تأیید بهره‌برداری فعال از مشکلات، که هنوز CVE ندارند، به‌روزرسانی کرد: «ما به‌روزرسانی‌هایی از حساب‌های در معرض خطر دریافت کردیم که تیم واکنش به حادثه ما توانسته است آنها را بررسی و تأیید کند.» همچنین لیست گسترده ای از IoC ها را اضافه کرد.

در همین حال، Piotr Kijewski، مدیرعامل بنیاد Shadowserver، مشاهده درخواست‌های اولیه بهره‌برداری در حسگرهای Honeypot غیرانتفاعی را تایید کرد.

"علائم مصالحه را بررسی کنید (مانند کاربران جدید اضافه شده) و وصله کنید!" او از طریق فهرست پستی Shadowserver تاکید کرد و افزود که تا روز سه‌شنبه، 93 درصد کامل از نمونه‌های ScreenConnect هنوز آسیب‌پذیر هستند (حدود 3,800 نصب) که بیشتر آنها در ایالات متحده واقع شده‌اند.

آسیب‌پذیری‌ها بر روی ScreenConnect نسخه‌های 23.9.7 و نسخه‌های قبلی تأثیر می‌گذارند و به‌طور خاص بر نصب‌های خود میزبان یا در محل تأثیر می‌گذارند. مشتریان ابری میزبان سرورهای ScreenConnect در دامنه‌های «screenconnect.com» یا «hostedrmm.com» تحت تأثیر قرار نمی‌گیرند.

منتظر بهره برداری ConnectWise برای Snowball باشید

در حالی که تلاش‌های بهره‌برداری در حال حاضر کم حجم هستند، مایک والترز، رئیس و یکی از بنیان‌گذاران Action1، در تفسیر ایمیلی گفت که کسب‌وکارها باید منتظر «پیامدهای امنیتی قابل‌توجه» از باگ‌های ConnectWise باشند.

والترز، که همچنین بهره‌برداری از آسیب‌پذیری‌ها را تایید کرد، گفت که به طور بالقوه انتظار دارد «هزاران مورد در معرض خطر» قرار بگیرد. اما این مشکلات همچنین این پتانسیل را دارد که به یک حمله زنجیره تامین گسترده منفجر شود که در آن مهاجمان به ارائه‌دهندگان خدمات امنیتی مدیریت شده (MSSP) نفوذ می‌کنند و سپس به سمت مشتریان تجاری خود می‌روند.

او توضیح داد: «حمله عظیمی که از این آسیب‌پذیری‌ها سوءاستفاده می‌کند، ممکن است شبیه به حمله باشد بهره برداری از آسیب پذیری Kaseya در سال 2021از آنجایی که ScreenConnect یک RMM بسیار محبوب [ابزار مدیریت و نظارت از راه دور] در بین MSP ها و MSSP ها است و می تواند به آسیب های مشابهی منجر شود.

تاکنون، هم محققان Huntress و هم محققان تیم حمله Horizon3 PoCهایی را برای این باگ‌ها به صورت عمومی منتشر کرده‌اند و دیگران مطمئناً دنبال خواهند کرد.

برای محافظت از خود، مدیران ConnectWise SmartScreen باید فوراً به نسخه 23.9.8 ارتقا دهند تا سیستم های خود را اصلاح کنند، سپس از IoC های ارائه شده برای جستجوی نشانه های سوء استفاده استفاده کنند.

تمبر زمان:

بیشتر از تاریک خواندن