Bug RMM ConnectWise Kritis Siap untuk Longsoran Eksploitasi

Pengguna alat manajemen desktop jarak jauh ConnectWise ScreenConnect berada di bawah serangan siber aktif, setelah eksploitasi proof-of-concept (PoC) muncul untuk kerentanan keamanan yang sangat kritis di platform. Para peneliti memperingatkan bahwa situasi ini berpotensi meledak menjadi peristiwa kompromi massal.

ScreenConnect dapat digunakan oleh dukungan teknis dan pihak lain untuk mengautentikasi ke mesin seolah-olah mereka adalah penggunanya. Dengan demikian, hal ini menawarkan saluran bagi pelaku ancaman yang ingin menyusup ke titik akhir bernilai tinggi dan area jaringan perusahaan lainnya yang mungkin dapat mereka akses.

Bypass Otentikasi ScreenConnect Kritis

Dalam penasehat pada hari Senin, ConnectWise mengungkapkan bypass otentikasi memiliki skor 10 dari 10 pada skala tingkat keparahan kerentanan CVSS; selain membuka pintu depan ke desktop yang ditargetkan, hal ini memungkinkan penyerang mencapai bug kedua, yang juga diungkapkan pada hari Senin, yaitu masalah path-traversal (CVSS 8.4) yang memungkinkan akses file tidak sah.

“Kerentanan ini memungkinkan penyerang untuk membuat pengguna administratifnya sendiri di server ScreenConnect, memberi mereka kendali penuh atas server,” kata James Horseman, pengembang eksploitasi Horizon3.ai, dalam sebuah blog hari ini yang memberikan detail teknis tentang bypass autentikasi dan indikator kompromi (IoC). “Kerentanan ini mengikuti tema kerentanan terbaru lainnya yang memungkinkan penyerang menginisialisasi ulang aplikasi atau membuat pengguna awal setelah pengaturan.”

Pada hari Selasa, ConnectWise memperbarui sarannya untuk mengonfirmasi eksploitasi aktif atas masalah tersebut, yang belum memiliki CVE: “Kami menerima pembaruan tentang akun yang disusupi yang dapat diselidiki dan dikonfirmasi oleh tim respons insiden kami.” Itu juga menambahkan daftar IoC yang ekstensif.

Sementara itu, Piotr Kijewski, CEO di Shadowserver Foundation, mengonfirmasi melihat permintaan eksploitasi awal di sensor honeypot lembaga nonprofit tersebut.

“Periksa tanda-tanda kompromi (seperti penambahan pengguna baru) dan tambal!” dia menekankan melalui milis Shadowserver, menambahkan bahwa pada hari Selasa, 93% instance ScreenConnect masih rentan (sekitar 3,800 instalasi), sebagian besar berlokasi di AS.

Kerentanan ini memengaruhi ScreenConnect versi 23.9.7 dan yang lebih lama, dan secara khusus memengaruhi instalasi yang dihosting sendiri atau di lokasi; pelanggan cloud yang menghosting server ScreenConnect di domain “screenconnect.com” atau “hostedrmm.com” tidak terpengaruh.

Harapkan Eksploitasi ConnectWise menjadi Bola Salju

Meskipun upaya eksploitasi masih berskala kecil saat ini, Mike Walters, presiden dan salah satu pendiri Action1, mengatakan dalam komentar emailnya bahwa bisnis harus mengantisipasi “implikasi keamanan yang signifikan” dari bug ConnectWise.

Walters, yang juga mengkonfirmasi adanya eksploitasi kerentanan, memperkirakan, berpotensi, “ribuan contoh yang disusupi.” Namun masalah ini juga berpotensi meledak menjadi serangan rantai pasokan yang luas di mana penyerang menyusup ke penyedia layanan keamanan terkelola (MSSP), lalu beralih ke pelanggan bisnis mereka.

Dia menjelaskan, “Serangan besar-besaran yang mengeksploitasi kerentanan ini mungkin serupa dengan Eksploitasi kerentanan Kaseya pada tahun 2021, karena ScreenConnect adalah [alat manajemen dan pemantauan jarak jauh] RMM yang sangat populer di antara MSP dan MSSP, dan dapat mengakibatkan kerusakan yang sebanding.”

Sejauh ini, baik peneliti Huntress maupun peneliti dari tim penyerang Horizon3 telah merilis PoC untuk bug tersebut secara publik, dan peneliti lainnya pasti akan menyusul.

Untuk melindungi diri mereka sendiri, admin ConnectWise SmartScreen harus segera meningkatkan ke versi 23.9.8 untuk menambal sistem mereka, kemudian menggunakan IoC yang disediakan untuk mencari tanda-tanda eksploitasi.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/remote-workforce/critical-connectwise-rmm-bug-poised-exploitation-avalanche