क्रिटिकल कनेक्टवाइज़ आरएमएम बग शोषण के बड़े पैमाने पर हमले के लिए तैयार है

प्लेटो द्वारा पुनर्प्रकाशित

अनुयायियों: 0

क्रिटिकल कनेक्टवाइज़ आरएमएम बग शोषण हिमस्खलन प्लेटोब्लॉकचेन डेटा इंटेलिजेंस के लिए तैयार है। लंबवत खोज. ऐ.

प्लेटफ़ॉर्म में अधिकतम-महत्वपूर्ण सुरक्षा भेद्यता के लिए प्रूफ-ऑफ-कॉन्सेप्ट (PoC) शोषण सामने आने के बाद, कनेक्टवाइज़ स्क्रीनकनेक्ट रिमोट डेस्कटॉप प्रबंधन टूल के उपयोगकर्ता सक्रिय साइबर हमले के अधीन हैं। शोधकर्ता चेतावनी दे रहे हैं कि स्थिति में बड़े पैमाने पर समझौता होने की संभावना है।

स्क्रीनकनेक्ट का उपयोग तकनीकी सहायता और अन्य लोगों द्वारा किसी मशीन को प्रमाणित करने के लिए किया जा सकता है जैसे कि वे उपयोगकर्ता थे। इस प्रकार, यह उच्च-मूल्य वाले एंडपॉइंट और कॉर्पोरेट नेटवर्क के किसी भी अन्य क्षेत्र में घुसपैठ करने की चाहत रखने वाले खतरनाक अभिनेताओं के लिए एक माध्यम प्रदान करता है, जहां तक उनकी पहुंच हो सकती है।

क्रिटिकल स्क्रीनकनेक्ट प्रमाणीकरण बायपास

सोमवार को एक सलाह में, कनेक्टवाइज़ ने एक प्रमाणीकरण बाईपास का खुलासा किया सीवीएसएस भेद्यता गंभीरता पैमाने पर 10 में से 10 का स्कोर लाना; लक्षित डेस्कटॉप के सामने का दरवाज़ा खोलने के अलावा, यह हमलावरों को दूसरे बग तक पहुँचने की अनुमति देता है, जिसका खुलासा सोमवार को किया गया, जो एक पथ-ट्रैवर्सल समस्या (सीवीएसएस 8.4) है जो अनधिकृत फ़ाइल एक्सेस की अनुमति देता है।

"यह भेद्यता एक हमलावर को स्क्रीनकनेक्ट सर्वर पर अपना स्वयं का प्रशासनिक उपयोगकर्ता बनाने की अनुमति देती है, जिससे उन्हें सर्वर पर पूर्ण नियंत्रण मिलता है," होराइजन3.एआई शोषण डेवलपर जेम्स हॉर्समैन ने आज एक ब्लॉग में कहा कि ऑथ बाइपास पर तकनीकी विवरण प्रदान करता है और समझौते के संकेतक (आईओसी)। "यह भेद्यता अन्य हालिया कमजोरियों के विषय का अनुसरण करती है जो हमलावरों को एप्लिकेशन को फिर से शुरू करने या सेटअप के बाद प्रारंभिक उपयोगकर्ता बनाने की अनुमति देती है।"

मंगलवार को, कनेक्टवाइज़ ने मुद्दों के सक्रिय शोषण की पुष्टि करने के लिए अपनी सलाह को अपडेट किया, जिसमें अभी तक सीवीई नहीं हैं: "हमें समझौता किए गए खातों के अपडेट प्राप्त हुए हैं जिनकी हमारी घटना प्रतिक्रिया टीम जांच और पुष्टि करने में सक्षम है।" इसमें IoCs की एक विस्तृत सूची भी जोड़ी गई।

इस बीच, शैडोसर्वर फाउंडेशन के सीईओ पियोत्र किजेवस्की ने गैर-लाभकारी संस्था के हनीपोट सेंसर में प्रारंभिक शोषण अनुरोध देखने की पुष्टि की।

"समझौते के संकेतों की जाँच करें (जैसे नए उपयोगकर्ता जोड़े गए) और पैच करें!" उन्होंने शैडोसर्वर मेलिंग सूची के माध्यम से जोर देकर कहा कि मंगलवार तक, स्क्रीनकनेक्ट के पूरे 93% इंस्टेंसेस अभी भी असुरक्षित थे (लगभग 3,800 इंस्टॉलेशन), उनमें से अधिकांश अमेरिका में स्थित थे।

कमजोरियाँ स्क्रीनकनेक्ट संस्करण 23.9.7 और इससे पहले के संस्करणों को प्रभावित करती हैं, और विशेष रूप से स्व-होस्टेड या ऑन-प्रिमाइसेस इंस्टॉलेशन को प्रभावित करती हैं; "screenconnect.com" या "hostedrmm.com" डोमेन पर स्क्रीनकनेक्ट सर्वर होस्ट करने वाले क्लाउड ग्राहक प्रभावित नहीं होते हैं।

स्नोबॉल से कनेक्टवाइज़ शोषण की अपेक्षा करें

जबकि शोषण के प्रयास इस समय कम मात्रा में हैं, एक्शन1 के अध्यक्ष और सह-संस्थापक माइक वाल्टर्स ने ईमेल टिप्पणी में कहा कि व्यवसायों को कनेक्टवाइज़ बग से "महत्वपूर्ण सुरक्षा निहितार्थ" की उम्मीद करनी चाहिए।

वाल्टर्स, जिन्होंने कमजोरियों के बेतहाशा शोषण की भी पुष्टि की, ने संभावित रूप से, "हजारों समझौता किए गए उदाहरणों" की उम्मीद की। लेकिन ये मुद्दे व्यापक आपूर्ति श्रृंखला हमले में तब्दील होने की भी संभावना रखते हैं, जिसमें हमलावर प्रबंधित सुरक्षा सेवा प्रदाताओं (एमएसएसपी) में घुसपैठ करते हैं, फिर अपने व्यावसायिक ग्राहकों की ओर ध्यान आकर्षित करते हैं।

उन्होंने समझाया, “इन कमजोरियों का फायदा उठाने वाले बड़े पैमाने पर हमले के समान हो सकते हैं 2021 में कासिया भेद्यता शोषण, क्योंकि स्क्रीनकनेक्ट एमएसपी और एमएसएसपी के बीच एक बहुत लोकप्रिय [दूरस्थ प्रबंधन और निगरानी उपकरण] आरएमएम है, और इसके परिणामस्वरूप तुलनीय क्षति हो सकती है।

अब तक, हंट्रेस शोधकर्ताओं और होराइजन3 अटैक टीम के शोधकर्ताओं दोनों ने बग के लिए सार्वजनिक रूप से पीओसी जारी किए हैं, और अन्य लोग निश्चित रूप से इसका अनुसरण करेंगे।

खुद को सुरक्षित रखने के लिए, कनेक्टवाइज़ स्मार्टस्क्रीन व्यवस्थापकों को अपने सिस्टम को पैच करने के लिए तुरंत संस्करण 23.9.8 में अपग्रेड करना चाहिए, फिर शोषण के संकेतों की तलाश के लिए प्रदान किए गए IoCs का उपयोग करना चाहिए।