Kritikus ConnectWise RMM-hiba a kizsákmányolási lavinához

A ConnectWise ScreenConnect távoli asztali felügyeleti eszköz felhasználóit aktív kibertámadás éri, miután a platformon egy maximálisan kritikus biztonsági rést okozó proof-of-concept (PoC) kizsákmányolás került felszínre. A helyzet tömeges kompromisszumos eseménnyel robbanhat át – figyelmeztetnek a kutatók.

A ScreenConnect segítségével a műszaki támogatás és mások úgy hitelesíthetik a gépet, mintha ők lennének a felhasználó. Mint ilyen, csatornát kínál a fenyegetés szereplőinek, akik nagy értékű végpontokba és a vállalati hálózatok bármely más területére szeretnének beszivárogni, amelyhez hozzáférhetnek.

Kritikus ScreenConnect hitelesítés megkerülése

A hétfői tanácsadásban A ConnectWise hitelesítési megkerülést mutatott be a CVSS sebezhetőségi súlyossági skáláján 10-ből 10-es pontszámmal rendelkezik; amellett, hogy megnyitja a bejárati ajtót a célzott asztali számítógépek előtt, lehetővé teszi a támadók számára, hogy elérjék a második hibát is, amelyet szintén hétfőn hoztak nyilvánosságra, amely egy útvonal-bejárási probléma (CVSS 8.4), amely lehetővé teszi a jogosulatlan fájlhozzáférést.

"Ez a sérülékenység lehetővé teszi a támadók számára, hogy létrehozzák saját adminisztrátori felhasználójukat a ScreenConnect szerveren, így teljes irányítást kaphatnak a szerver felett" - mondta James Horseman, a Horizon3.ai kizsákmányoló fejlesztője egy mai blogban. technikai részleteket nyújt a hitelesítési megkerüléssel kapcsolatban és a kompromisszum indikátorai (IoC). "Ez a sérülékenység más, a közelmúltban megjelent biztonsági rések témáját követi, amelyek lehetővé teszik a támadók számára az alkalmazások újrainicializálását vagy kezdeti felhasználók létrehozását a telepítés után."

Kedden a ConnectWise frissítette tanácsát, hogy megerősítse a problémák aktív kihasználását, amelyeknek még nincs CVE-je: „Frissítéseket kaptunk a feltört fiókokról, amelyeket az incidensekre reagáló csapatunk ki tudott vizsgálni és megerősített.” Ezenkívül hozzáadta az IoC-k kiterjedt listáját.

Eközben Piotr Kijewski, a Shadowserver Foundation vezérigazgatója megerősítette, hogy kezdeti hasznosítási kéréseket látott a nonprofit szervezet honeypot érzékelőiben.

"Ellenőrizze a kompromisszum jeleit (például új felhasználók hozzáadását), és javítsa!" hangsúlyozta a Shadowserver levelezőlistán keresztül, hozzátéve, hogy kedden a ScreenConnect-példányok teljes 93%-a még mindig sebezhető volt (mintegy 3,800 telepítés), többségük az Egyesült Államokban található.

A biztonsági rések a ScreenConnect 23.9.7-es és korábbi verzióit érintik, és kifejezetten a saját üzemeltetésű vagy helyszíni telepítéseket érintik; A „screenconnect.com” vagy a „hostedrmm.com” domainen ScreenConnect-kiszolgálókat üzemeltető felhőalapú ügyfeleket ez nem érinti.

Várja a ConnectWise Exploitation-t a Snowballhoz

Noha a kihasználási kísérletek jelenleg csekélyek, Mike Walters, az Action1 elnöke és társalapítója e-mailben kifejtette, hogy a vállalkozásoknak „jelentős biztonsági következményekkel” kell számolniuk a ConnectWise hibákkal.

Walters, aki azt is megerősítette, hogy a sérülékenységeket szabadon kihasználták, azt mondta, hogy potenciálisan „több ezer kompromittált esetre számíthat”. De a problémák egy széles körű ellátási lánc támadást is okozhatnak, amelyben a támadók beszivárognak a felügyelt biztonsági szolgáltatókba (MSSP), majd üzleti ügyfeleik felé fordulnak.

Kifejtette: „Az ezeket a sebezhetőségeket kihasználó hatalmas támadás hasonló lehet a A Kaseya sebezhetőségének kihasználása 2021-ben, mivel a ScreenConnect egy nagyon népszerű [távfelügyeleti és felügyeleti eszköz] RMM az MSP-k és MSSP-k körében, és hasonló károkat okozhat.”

Eddig mind a Huntress kutatói, mind a Horizon3 támadócsapat kutatói nyilvánosan kiadtak PoC-ket a hibákhoz, és mások is biztosan követni fogják.

A ConnectWise SmartScreen adminisztrátorainak, hogy megvédjék magukat, azonnal frissíteniük kell a 23.9.8-as verzióra, hogy javítsák rendszereiket, majd a mellékelt IoC-k segítségével keressék a kizsákmányolás jeleit.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/remote-workforce/critical-connectwise-rmm-bug-poised-exploitation-avalanche