Un bug critique de ConnectWise RMM prêt à provoquer une avalanche d’exploitation

Les utilisateurs de l'outil de gestion de bureau à distance ConnectWise ScreenConnect sont soumis à une cyberattaque active, après qu'un exploit de preuve de concept (PoC) a fait surface pour une vulnérabilité de sécurité extrêmement critique dans la plate-forme. La situation pourrait potentiellement dégénérer en un événement de compromission de masse, préviennent les chercheurs.

ScreenConnect peut être utilisé par le support technique et autres pour s'authentifier sur une machine comme s'ils en étaient l'utilisateur. En tant que tel, il offre un canal aux acteurs malveillants cherchant à infiltrer les points finaux de grande valeur et toute autre zone des réseaux d’entreprise à laquelle ils pourraient avoir accès.

Contournement critique de l’authentification ScreenConnect

Dans un avis publié lundi, ConnectWise a divulgué un contournement d'authentification obtenir un score de 10 sur 10 sur l'échelle de gravité de la vulnérabilité CVSS ; En plus d'ouvrir la porte d'entrée aux postes de travail ciblés, cela permet aux attaquants d'atteindre un deuxième bug, également révélé lundi, qui est un problème de cheminement (CVSS 8.4) qui permet un accès non autorisé aux fichiers.

"Cette vulnérabilité permet à un attaquant de créer son propre utilisateur administratif sur le serveur ScreenConnect, lui donnant ainsi un contrôle total sur le serveur", a déclaré James Horseman, développeur d'exploits Horizon3.ai, dans un blog publié aujourd'hui. fournit des détails techniques sur le contournement d'authentification et les indicateurs de compromission (IoC). "Cette vulnérabilité fait suite à d'autres vulnérabilités récentes qui permettent aux attaquants de réinitialiser des applications ou de créer des utilisateurs initiaux après l'installation."

Mardi, ConnectWise a mis à jour son avis pour confirmer l'exploitation active des problèmes, qui n'ont pas encore de CVE : "Nous avons reçu des mises à jour de comptes compromis que notre équipe de réponse aux incidents a pu enquêter et confirmer." Il a également ajouté une longue liste d’IoC.

Pendant ce temps, Piotr Kijewski, PDG de la Shadowserver Foundation, a confirmé avoir vu des demandes d'exploitation initiales dans les capteurs honeypot de l'organisation à but non lucratif.

« Vérifiez les signes de compromission (comme l'ajout de nouveaux utilisateurs) et corrigez ! » a-t-il souligné via la liste de diffusion Shadowserver, ajoutant que mardi, 93 % des instances ScreenConnect étaient encore vulnérables (environ 3,800 XNUMX installations), la plupart situées aux États-Unis.

Les vulnérabilités affectent les versions 23.9.7 et antérieures de ScreenConnect, et affectent spécifiquement les installations auto-hébergées ou sur site ; les clients cloud hébergeant des serveurs ScreenConnect sur les domaines « screenconnect.com » ou « hostedrmm.com » ne sont pas concernés.

Attendez-vous à ce que l’exploitation de ConnectWise fasse boule de neige

Bien que les tentatives d'exploitation soient actuellement peu nombreuses, Mike Walters, président et co-fondateur d'Action1, a déclaré dans un commentaire envoyé par courrier électronique que les entreprises devraient s'attendre à des « implications de sécurité importantes » des bogues ConnectWise.

Walters, qui a également confirmé l’exploitation sauvage des vulnérabilités, a déclaré s’attendre potentiellement à « des milliers d’instances compromises ». Mais ces problèmes peuvent également dégénérer en une attaque de grande envergure sur la chaîne d’approvisionnement dans laquelle les attaquants infiltrent les fournisseurs de services de sécurité gérés (MSSP), puis se tournent vers leurs clients professionnels.

Il a expliqué : « L’attaque massive exploitant ces vulnérabilités pourrait être similaire à celle Exploitation de la vulnérabilité Kaseya en 2021, car ScreenConnect est un RMM [outil de gestion et de surveillance à distance] très populaire parmi les MSP et les MSSP, et pourrait entraîner des dommages comparables.

Jusqu’à présent, les chercheurs de Huntress et ceux de l’équipe d’attaque Horizon3 ont publié publiquement des PoC pour les bogues, et d’autres suivront certainement.

Pour se protéger, les administrateurs de ConnectWise SmartScreen doivent immédiatement passer à la version 23.9.8 pour corriger leurs systèmes, puis utiliser les IoC fournis pour rechercher des signes d'exploitation.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/remote-workforce/critical-connectwise-rmm-bug-poised-exploitation-avalanche