Quelques jours seulement après que les premiers rapports d'exploitation ont commencé à affluer vulnérabilité de sécurité critique dans ConnectWise ScreenConnect service de gestion de postes de travail à distance, les chercheurs préviennent qu’une attaque de la chaîne d’approvisionnement aux proportions démesurées pourrait être sur le point d’éclater.
Une fois les bugs exploités, les pirates auront accès à distance à « plus de dix mille serveurs contrôlant des centaines de milliers de points de terminaison », a déclaré Kyle Hanslovan, PDG de Huntress, dans un commentaire par courrier électronique, estimant qu'il est temps de se préparer au « plus grand incident de cybersécurité de 2024 ». .»
ScreenConnect peut être utilisé par le support technique et autres pour s'authentifier sur une machine comme s'ils en étaient l'utilisateur. En tant que tel, cela pourrait permettre aux acteurs malveillants d’infiltrer des points finaux de grande valeur et d’exploiter leurs privilèges.
Pire encore, l'application est largement utilisée par les fournisseurs de services gérés (MSP) pour se connecter aux environnements des clients. Elle peut donc également ouvrir la porte aux acteurs malveillants cherchant à utiliser ces MSP pour un accès en aval, à l'instar de l'application. tsunami des attaques de Kaseya auxquelles les entreprises ont été confrontées en 2021.
Les bogues ConnectWise obtiennent des CVE
ConnectWise a divulgué les bogues lundi sans CVE, après quoi des exploits de preuve de concept (PoC) sont rapidement apparus. Mardi, ConnectWise a averti que les bugs faisaient l'objet d'une cyberattaque active. Mercredi, plusieurs chercheurs faisaient état d’une cyberactivité boule de neige.
Les vulnérabilités disposent désormais de CVE de suivi. L'un d'eux est un contournement d'authentification de gravité maximale (CVE-2024-1709, CVSS 10), qui permet à un attaquant ayant un accès réseau à l'interface de gestion de créer un nouveau compte de niveau administrateur sur les appareils concernés. Il peut être associé à un deuxième bug, un problème de parcours (CVE-2024-1708, CVSS 8.4) qui permet un accès non autorisé aux fichiers.
Les courtiers d’accès initial accélèrent leur activité
Selon la Shadowserver Foundation, au moins 8,200 XNUMX instances vulnérables de la plate-forme sont exposées à Internet dans le cadre de sa télémétrie, la majorité d'entre elles étant situées aux États-Unis.
"CVE-2024-1709 est largement exploité dans la nature : 643 IP ont été détectées à ce jour par nos capteurs", indique-t-il. dit dans un post LinkedIn.
Les chercheurs de Huntress ont déclaré qu'une source au sein de la communauté du renseignement américain leur avait dit que courtiers d’accès initial (IAB) ont commencé à s'attaquer aux bugs pour s'installer sur divers points de terminaison, dans le but de vendre cet accès à des groupes de ransomwares.
En effet, Huntress a observé que des cyberattaquants utilisaient les failles de sécurité pour déployer des ransomwares auprès d'un gouvernement local, y compris des points finaux probablement liés aux systèmes 911.
"La simple prédominance de ce logiciel et l'accès offert par cette vulnérabilité indiquent que nous sommes à l'aube d'une guerre contre les ransomwares", a déclaré Hanslovan. « Il est avéré que les hôpitaux, les infrastructures critiques et les institutions publiques sont en danger. »
Il a ajouté : « Et une fois qu’ils commenceront à pousser leurs crypteurs de données, je serais prêt à parier que 90 % des logiciels de sécurité préventive ne les détecteront pas parce qu’ils proviennent d’une source fiable. »
Les chercheurs de Bitdefender ont quant à eux corroboré cette activité, notant que les acteurs malveillants utilisent des extensions malveillantes pour déployer un téléchargeur capable d'installer des logiciels malveillants supplémentaires sur les machines compromises.
"Nous avons remarqué plusieurs cas d'attaques potentielles exploitant le dossier d'extensions de ScreenConnect, [tandis que les outils de sécurité] suggèrent la présence d'un téléchargeur basé sur l'outil intégré certutil.exe", selon un Article de blog Bitdefender sur la cyberactivité de ConnectWise. « Les auteurs de menaces utilisent généralement cet outil… pour lancer le téléchargement de charges utiles malveillantes supplémentaires sur le système de la victime. »
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté les bogues à son Catalogue des vulnérabilités exploitées connues.
Atténuation pour CVE-2024-1709, CVE-2024-1708
Les versions sur site jusqu'à 23.9.7 incluses sont vulnérables. La meilleure protection consiste donc à identifier tous les systèmes sur lesquels ConnectWise ScreenConnect est déployé et à appliquer les correctifs publiés avec ScreenConnect version 23.9.8.
Les organisations doivent également surveiller les indicateurs de compromission (IoC) répertoriés par ConnectWise dans son avis. Les chercheurs de Bitdefender préconisent de surveiller le dossier « C:Program Files (x86)ScreenConnectApp_Extensions » ; Bitdefender a signalé que tout fichier .ashx et .aspx suspect stocké directement à la racine de ce dossier peut indiquer une exécution de code non autorisée.
En outre, de bonnes nouvelles pourraient se profiler à l'horizon : « ConnectWise a déclaré avoir révoqué les licences des serveurs non corrigés, et même si de notre côté nous ne savons pas comment cela fonctionne, il semble que cette vulnérabilité reste une préoccupation majeure pour toute personne exécutant une version vulnérable ou qui l'a fait. pas corrigé rapidement », ont ajouté les chercheurs de Bitdefender. "Cela ne veut pas dire que les actions de ConnectWise ne fonctionnent pas, nous ne savons pas comment cela s'est déroulé pour le moment."
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
- :possède
- :est
- :ne pas
- :où
- $UP
- 10
- 200
- 2021
- 2024
- 23
- 7
- 8
- 9
- a
- accès
- Selon
- Compte
- actes
- infection
- activité
- acteurs
- ajoutée
- Supplémentaire
- consultatif
- avocat
- affecté
- offert
- Après
- agence
- Tous
- permettre
- permet
- aussi
- an
- ainsi que le
- et infrastructure
- tous
- chacun.e
- paru
- apparaît
- Application
- Application
- SONT
- AS
- At
- attaquer
- attaquant
- Attaquer
- Attaques
- authentifier
- Authentification
- basé
- BE
- car
- LES MEILLEURS
- Pari
- Le plus grand
- Blog
- courtiers
- Punaise
- bogues
- intégré
- entreprises
- by
- contourner
- CAN
- capable
- Attraper
- CEO
- chaîne
- code
- Venir
- commentaire
- communément
- Communautés
- compromis
- Compromise
- PROBLÈMES DE PEAU
- NOUS CONTACTER
- des bactéries
- pourriez
- engendrent
- critique
- Infrastructure critique
- Cuspide
- des clients
- cyber
- Cyber-attaque
- Cybersécurité
- données
- Date
- jours
- offre
- déployer
- déployé
- à poser
- Compatibles
- DID
- directement
- Porte
- download
- fin
- environnements
- exécution
- Exploiter
- exploitation
- Exploités
- exploits
- exposé
- extensions
- face
- Déposez votre dernière attestation
- Fichiers
- marqué
- Pour
- Fondation
- De
- Gain
- obtenez
- Bien
- Gouvernement
- Groupes
- les pirates
- Vous avez
- horizon
- les hôpitaux
- Comment
- HTTPS
- Des centaines
- identifier
- in
- incident
- Y compris
- en effet
- indiquer
- Indicateurs
- Infrastructure
- initiale
- initier
- à l'intérieur
- installer
- instance
- les établissements privés
- Intelligence
- intention
- Interfaces
- Internet
- développement
- aide
- Publié
- IT
- SES
- jpg
- XNUMX éléments à
- kyle
- au
- en tirant parti
- Li
- licences
- Probable
- lié
- Listé
- locales
- gouvernement local
- situé
- recherchez-
- click
- Les machines
- majeur
- Majorité
- malveillant
- malware
- gérés
- gestion
- Masse
- Mai..
- En attendant
- atténuation
- lundi XNUMX
- Stack monitoring
- plusieurs
- réseau et
- Nouveauté
- nouvelles
- aucune
- notant
- maintenant
- of
- on
- une fois
- ONE
- sur
- ouvert
- or
- Autres
- nos
- ande
- apparié
- Pièce
- Patches
- plateforme
- Platon
- Intelligence des données Platon
- PlatonDonnées
- joué
- PoC
- en équilibre
- Post
- défaillances
- Préparer
- présence
- prévalence
- privilèges
- Programme
- protection
- proven
- fournisseurs
- Poussant
- vite.
- Rampe
- ransomware
- RE
- éloigné
- accès à distance
- Rapports
- Rapports
- chercheurs
- Analyse
- Roulant
- racine
- pour le running
- s
- Saïd
- dire
- Deuxièmement
- sécurité
- faille de sécurité
- vu
- Disponible
- capteur
- Serveurs
- service
- les fournisseurs de services
- set
- plusieurs
- Fondation Shadowserver
- Boutique
- devrait
- signaux
- similaires
- So
- Logiciels
- Identifier
- Sponsorisé
- Commencer
- j'ai commencé
- Région
- A déclaré
- Encore
- stockée
- tel
- Suggère
- la quantité
- chaîne d'approvisionnement
- Support
- soupçonneux
- rapidement
- combustion propre
- Système
- technologie
- Dix
- qui
- La
- leur
- Les
- Là.
- l'ont
- this
- ceux
- bien que?
- mille
- milliers
- menace
- acteurs de la menace
- fiable
- à
- dit
- outil
- Tracking
- confiance
- Mardi
- non autorisé
- sous
- vers le haut
- us
- utilisé
- d'utiliser
- Utilisateur
- en utilisant
- divers
- Ve
- version
- versions
- Victime
- vulnérabilités
- vulnérabilité
- Vulnérable
- averti
- avertissement
- we
- Mercredi
- ont été
- qui
- tout en
- WHO
- largement
- Sauvage
- sera
- prêt
- comprenant
- dans les
- de travail
- vos contrats
- pire
- zéphyrnet