Vain päiviä sen jälkeen, kun ensimmäiset hyväksikäyttöraportit alkoivat saapua kriittinen tietoturvahaavoittuvuus ConnectWise ScreenConnectissa etätyöpöydän hallintapalvelu, tutkijat varoittavat, että mittasuhteiltaan suuri toimitusketjuhyökkäys saattaa puhkeamaan.
Kun bugeja on hyödynnetty, hakkerit pääsevät etäkäyttöön "yli kymmeneentuhanteen palvelimeen, jotka ohjaavat satoja tuhansia päätepisteitä", Huntressin toimitusjohtaja Kyle Hanslovan sanoi sähköpostikommentissa ja katsoi, että on aika valmistautua "vuoden 2024 suurimpaan kyberturvallisuustapahtumaan. .”
Tekninen tuki ja muut voivat käyttää ScreenConnectia todentaakseen koneen ikään kuin he olisivat käyttäjä. Sellaisenaan se voisi antaa uhkatoimijoille mahdollisuuden soluttautua arvokkaisiin päätepisteisiin ja käyttää hyväkseen oikeuksiaan.
Vielä pahempaa on, että hallitut palveluntarjoajat (MSP) käyttävät sovellusta laajasti yhteyden muodostamiseen asiakasympäristöihin, joten se voi myös avata oven uhkatoimijoille, jotka haluavat käyttää näitä MSP:itä loppupään pääsyyn, kuten Kaseyan tsunami-iskut joita yritykset kohtasivat vuonna 2021.
ConnectWise Bugs Hanki CVE:t
ConnectWise paljasti virheet maanantaina ilman CVE:tä, minkä jälkeen proof-of-concept (PoC) -hyökkäykset ilmestyivät nopeasti. Tiistaina ConnectWise varoitti, että bugit olivat aktiivisen kyberhyökkäyksen kohteena. Keskiviikkoon mennessä useat tutkijat raportoivat lumipallon kybertoiminnasta.
Haavoittuvuuksilla on nyt seuranta-CVE:t. Yksi niistä on maksimivakavuuden todennuksen ohitus (CVE-2024-1709, CVSS 10), jonka avulla hyökkääjä, jolla on verkkoyhteys hallintaliittymään, voi luoda uuden järjestelmänvalvojatason tilin laitteille, joita asia koskee. Se voidaan yhdistää toiseen virheeseen, polun läpikulkuongelmaan (CVE-2024-1708, CVSS 8.4), joka sallii luvattoman pääsyn tiedostoihin.
Alkuperäisen pääsyn välittäjien ylösajotoiminta
Shadowserver Foundationin mukaan alustan telemetriassa on vähintään 8,200 XNUMX haavoittuvaa tapausta, jotka ovat alttiina Internetiin, ja suurin osa niistä sijaitsee Yhdysvalloissa.
"CVE-2024-1709:ää hyödynnetään laajasti luonnossa: anturimme ovat tähän mennessä nähneet hyökkäävän 643 IP-osoitetta." sanoi LinkedIn -viestissä.
Huntressin tutkijat sanoivat, että lähde Yhdysvaltain tiedusteluyhteisöstä kertoi heille tämän alkupääsyn välittäjät (IAB:t) ovat alkaneet törmätä bugeihin perustaakseen kaupan eri päätepisteisiin tarkoituksenaan myydä pääsy kiristysohjelmaryhmille.
Ja todellakin, yhdessä tapauksessa Huntress havaitsi kyberhyökkääjien käyttävän tietoturva-aukkoja käyttääkseen kiristysohjelmia paikallishallinnolle, mukaan lukien päätepisteet, jotka todennäköisesti liittyvät hätänumerojärjestelmiin.
"Tämän ohjelmiston pelkkä yleisyys ja tämän haavoittuvuuden tarjoama pääsy ovat merkki siitä, että olemme kaikille ilmaisen kiristysohjelman kynnyksellä", Hanslovan sanoi. "Sairaalat, kriittinen infrastruktuuri ja valtion laitokset ovat todistetusti vaarassa."
Hän lisäsi: "Ja kun he alkavat työntää datan salauslaitteitaan, olisin valmis lyömään vetoa, että 90 % ennaltaehkäisevistä tietoturvaohjelmistoista ei saa sitä kiinni, koska se tulee luotettavasta lähteestä."
Bitdefender-tutkijat puolestaan vahvistivat toimintaa ja huomauttivat, että uhkatoimijat käyttävät haitallisia laajennuksia ottaakseen käyttöön latausohjelman, joka pystyy asentamaan lisää haittaohjelmia vaarantuneisiin koneisiin.
"Olemme havainneet useita tapauksia mahdollisista hyökkäyksistä, jotka hyödyntävät ScreenConnectin laajennuskansiota, [vaikka suojaustyökalut] viittaavat sisäänrakennettuun certutil.exe-työkaluun perustuvan latausohjelman olemassaoloon", asiantuntijan mukaan. Bitdefender-blogiviesti ConnectWisen kybertoiminnasta. "Uhkatoimijat käyttävät yleensä tätä työkalua … aloittaakseen ylimääräisten haitallisten hyötykuormien lataamisen uhrin järjestelmään."
Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvavirasto (CISA) on lisännyt virheet siihen Tunnettu hyödynnettyjen haavoittuvuuksien luettelo.
CVE-2024-1709, CVE-2024-1708 lievennys
Paikalliset versiot 23.9.7 asti ja mukaan lukien ovat haavoittuvia – joten paras suoja on tunnistaa kaikki järjestelmät, joissa ConnectWise ScreenConnect on asennettu, ja asentaa korjaustiedostoja, jotka on myönnetty ScreenConnect-versio 23.9.8.
Organisaatioiden tulee myös pitää silmällä ConnectWisen neuvonnassaan lueteltuja kompromissiindikaattoreita (IoC). Bitdefenderin tutkijat suosittelevat "C:Program Files (x86)ScreenConnectApp_Extensions" -kansion seurantaa; Bitdefender ilmoitti, että kaikki suoraan kansion juureen tallennetut epäilyttävät .ashx- ja .aspx-tiedostot voivat viitata luvattomaan koodin suorittamiseen.
Lisäksi horisontissa voi olla hyviä uutisia: "ConnectWise ilmoitti peruuttaneensa korjaamattomien palvelimien lisenssit, ja vaikka meidän kannaltamme on epäselvää, kuinka tämä toimii, näyttää siltä, että tämä haavoittuvuus on edelleen suuri huolenaihe kaikille, jotka käyttävät haavoittuvaa versiota tai jotka sitä tekivät. älä korjaa nopeasti", Bitdefenderin tutkijat lisäsivät. "Tämä ei tarkoita, että ConnectWisen toimet eivät toimisi, emme ole varmoja siitä, miten tämä tapahtui tällä hetkellä."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
- :on
- :On
- :ei
- :missä
- $ YLÖS
- 10
- 200
- 2021
- 2024
- 23
- 7
- 8
- 9
- a
- pääsy
- Mukaan
- Tili
- toimet
- aktiivinen
- toiminta
- toimijoiden
- lisä-
- lisä-
- neuvontapalvelut
- puolestapuhuja
- vaikuttaa
- varaa
- Jälkeen
- toimisto
- Kaikki
- sallia
- mahdollistaa
- Myös
- an
- ja
- ja infrastruktuuri
- Kaikki
- joku
- ilmestyi
- näyttää
- Hakemus
- Hakeminen
- OVAT
- AS
- At
- hyökkäys
- hyökkääjä
- Hyökkäävä
- Hyökkäykset
- todentaa
- Authentication
- perustua
- BE
- koska
- PARAS
- Veto
- Suurimmat
- Blogi
- välittäjät
- Vika
- Bugs
- sisäänrakennettu
- yritykset
- by
- ohittaa
- CAN
- kykenee
- paini
- toimitusjohtaja
- ketju
- koodi
- tuleva
- selostus
- yleisesti
- yhteisö
- kompromissi
- Vaarantunut
- Koskea
- kytkeä
- ohjaus
- voisi
- luoda
- kriittinen
- Kriittinen infrastruktuuri
- Kärki
- asiakas
- cyber
- Kyberhyökkäys
- tietoverkkojen
- tiedot
- Päivämäärä
- päivää
- Antaa
- sijoittaa
- käyttöön
- pöytä-
- Laitteet
- DID
- suoraan
- Mukaan
- download
- loppu
- ympäristöissä
- teloitus
- Käyttää hyväkseen
- hyväksikäyttö
- hyödynnetään
- hyödyntää
- avoin
- laajennukset
- kohtasi
- filee
- Asiakirjat
- Merkityt
- varten
- perusta
- alkaen
- Saada
- saada
- hyvä
- Hallitus
- Ryhmän
- hakkerit
- Olla
- horisontti
- sairaalat
- Miten
- HTTPS
- Sadat
- tunnistaminen
- in
- tapaus
- Mukaan lukien
- todellakin
- osoittaa
- indikaattorit
- Infrastruktuuri
- ensimmäinen
- aloittaa
- sisällä
- asentaminen
- esimerkki
- laitokset
- Älykkyys
- tahallisuus
- liitäntä
- Internet
- tulee
- kysymys
- Annettu
- IT
- SEN
- jpg
- Pitää
- Kyle
- vähiten
- vipuvaikutuksen
- Li
- lisenssejä
- Todennäköisesti
- liittyvät
- lueteltu
- paikallinen
- Paikallishallinto
- sijaitsevat
- näköinen
- kone
- Koneet
- merkittävä
- Enemmistö
- ilkeä
- haittaohjelmat
- onnistui
- johto
- Massa
- Saattaa..
- Sillä välin
- lieventäminen
- maanantai
- seuranta
- moninkertainen
- verkko
- Uusi
- uutiset
- Nro
- huomata
- nyt
- of
- on
- kerran
- ONE
- päälle
- avata
- or
- Muuta
- meidän
- ulos
- pariksi
- läikkä
- Merkit
- foorumi
- Platon
- Platonin tietotieto
- PlatonData
- pelataan
- PoC
- valmis
- Kirje
- mahdollinen
- Valmistella
- läsnäolo
- yleisyys
- oikeudet
- Ohjelma
- suojaus
- todistettu
- tarjoajat
- Työnnä
- nopeasti
- Ramppi
- ransomware
- RE
- kaukosäädin
- etäkäyttö
- Raportointi
- Raportit
- Tutkijat
- Riski
- Rolling
- juuri
- juoksu
- s
- Said
- sanoa
- Toinen
- turvallisuus
- tietoturvaheikkous
- nähneet
- myynti
- anturit
- servers
- palvelu
- palveluntarjoajat
- setti
- useat
- Shadowserver-säätiö
- Kauppa
- shouldnt
- signaalit
- samankaltainen
- So
- Tuotteemme
- lähde
- Sponsored
- Alkaa
- alkoi
- Osavaltio
- totesi
- Yhä
- tallennettu
- niin
- Ehdottaa
- toimittaa
- toimitusketju
- tuki
- epäilyttävä
- nopeasti
- järjestelmä
- järjestelmät
- teknologia
- kymmenen
- että
- -
- heidän
- Niitä
- Siellä.
- ne
- tätä
- ne
- vaikka?
- tuhat
- tuhansia
- uhkaus
- uhka toimijat
- aika
- että
- kertoi
- työkalu
- Seuranta
- luotettu
- tiistai
- luvaton
- varten
- ylöspäin
- us
- käyttää
- käytetty
- käyttäjä
- käyttämällä
- eri
- Ve
- versio
- versiot
- Uhri
- haavoittuvuuksia
- alttius
- Haavoittuva
- varoitti
- varoitus
- we
- Keskiviikko
- olivat
- joka
- vaikka
- KUKA
- laajalti
- Villi
- tulee
- halukas
- with
- sisällä
- työskentely
- toimii
- huonompi
- zephyrnet