Hanya beberapa hari setelah laporan eksploitasi awal mulai masuk untuk a kerentanan keamanan kritis di ConnectWise ScreenConnect layanan manajemen desktop jarak jauh, para peneliti memperingatkan bahwa serangan rantai pasokan dalam skala besar mungkin akan terjadi.
Setelah bug dieksploitasi, peretas akan mendapatkan akses jarak jauh ke โlebih dari sepuluh ribu server yang mengontrol ratusan ribu titik akhir,โ kata CEO Huntress Kyle Hanslovan dalam komentar emailnya, berpendapat bahwa inilah saatnya untuk bersiap menghadapi โinsiden keamanan siber terbesar di tahun 2024. .โ
ScreenConnect dapat digunakan oleh dukungan teknis dan pihak lain untuk mengautentikasi ke mesin seolah-olah mereka adalah penggunanya. Dengan demikian, hal ini dapat memungkinkan pelaku ancaman menyusup ke titik akhir yang bernilai tinggi dan mengeksploitasi hak istimewa mereka.
Lebih buruk lagi, aplikasi ini banyak digunakan oleh penyedia layanan terkelola (MSP) untuk terhubung ke lingkungan pelanggan, sehingga juga dapat membuka pintu bagi pelaku ancaman yang ingin menggunakan MSP tersebut untuk akses hilir, serupa dengan tsunami serangan Kaseya yang dihadapi bisnis pada tahun 2021.
Bug ConnectWise Dapatkan CVE
ConnectWise mengungkapkan bug tersebut pada hari Senin tanpa CVE, setelah itu eksploitasi proof-of-concept (PoC) segera muncul. Pada hari Selasa, ConnectWise memperingatkan bahwa bug tersebut berada di bawah serangan siber aktif. Pada hari Rabu, banyak peneliti melaporkan aktivitas dunia maya yang semakin meningkat.
Kerentanan sekarang memiliki CVE pelacakan. Salah satunya adalah bypass otentikasi tingkat keparahan maksimum (CVE-2024-1709, CVSS 10), yang memungkinkan penyerang dengan akses jaringan ke antarmuka manajemen untuk membuat akun tingkat administrator baru di perangkat yang terpengaruh. Ini dapat dipasangkan dengan bug kedua, masalah path-traversal (CVE-2024-1708, CVSS 8.4) yang memungkinkan akses file tidak sah.
Aktivitas Peningkatan Broker Akses Awal
Menurut Shadowserver Foundation, setidaknya ada 8,200 platform rentan yang terekspos ke Internet dalam telemetrinya, dan sebagian besar berlokasi di AS.
โCVE-2024-1709 dieksploitasi secara luas di alam liar: 643 IP terlihat diserang hingga saat ini oleh sensor kami,โ jelasnya. kata dalam postingan LinkedIn.
Peneliti Huntress mengatakan sumber dalam komunitas intelijen AS mengatakan hal itu kepada mereka broker akses awal (IAB) telah mulai menyerang bug untuk mendirikan toko di berbagai titik akhir, dengan tujuan menjual akses tersebut ke kelompok ransomware.
Dan memang benar, dalam satu contoh, Huntress mengamati para penyerang siber menggunakan kerentanan keamanan untuk menyebarkan ransomware ke pemerintah daerah, termasuk titik akhir yang kemungkinan besar terkait dengan sistem 911.
โPrevalensi perangkat lunak ini dan akses yang diberikan oleh kerentanan ini menandakan kita berada di titik puncak ransomware gratis untuk semua,โ kata Hanslovan. โRumah sakit, infrastruktur penting, dan institusi negara terbukti berisiko.โ
Dia menambahkan: โDan begitu mereka mulai menggunakan enkripsi datanya, saya berani bertaruh 90% perangkat lunak keamanan preventif tidak akan menangkapnya karena berasal dari sumber yang tepercaya.โ
Sementara itu, peneliti Bitdefender menguatkan aktivitas tersebut dan mencatat bahwa pelaku ancaman menggunakan ekstensi berbahaya untuk menyebarkan pengunduh yang mampu memasang malware tambahan pada mesin yang disusupi.
โKami telah melihat beberapa contoh potensi serangan yang memanfaatkan folder ekstensi ScreenConnect, [sementara alat keamanan] menunjukkan adanya pengunduh berdasarkan alat bawaan certutil.exe,โ menurut a Posting blog Bitdefender tentang aktivitas cyber ConnectWise. โPara pelaku ancaman biasanya menggunakan alat iniโฆ untuk memulai pengunduhan muatan berbahaya tambahan ke sistem korban.โ
Badan Keamanan Siber dan Infrastruktur AS (CISA) telah menambahkan bug tersebut ke dalamnya Katalog Kerentanan Tereksploitasi yang Dikenal.
Mitigasi CVE-2024-1709, CVE-2024-1708
Versi lokal hingga dan termasuk 23.9.7 rentan โ jadi perlindungan terbaik adalah mengidentifikasi semua sistem tempat ConnectWise ScreenConnect diterapkan dan menerapkan patch, yang dikeluarkan dengan ScreenConnect versi 23.9.8.
Organisasi juga harus memperhatikan indikator kompromi (IoC) yang dicantumkan oleh ConnectWise dalam sarannya. Peneliti Bitdefender menganjurkan pemantauan folder โC:Program Files (x86)ScreenConnectApp_Extensionsโ; Bitdefender menandai bahwa file .ashx dan .aspx mencurigakan yang disimpan langsung di root folder tersebut mungkin mengindikasikan eksekusi kode yang tidak sah.
Selain itu, mungkin ada kabar baik yang akan segera terjadi: โConnectWise menyatakan bahwa mereka mencabut lisensi untuk server yang belum dipatch, dan meskipun kami masih belum mengetahui cara kerjanya, tampaknya kerentanan ini masih menjadi kekhawatiran utama bagi siapa pun yang menjalankan versi rentan atau yang melakukannya. tidak dapat ditambal dengan cepat,โ tambah peneliti Bitdefender. โIni bukan berarti tindakan ConnectWise tidak berhasil, kami tidak yakin bagaimana hal ini akan terjadi saat ini.โ
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
- :memiliki
- :adalah
- :bukan
- :Di mana
- $NAIK
- 10
- 200
- 2021
- 2024
- 23
- 7
- 8
- 9
- a
- mengakses
- Menurut
- Akun
- tindakan
- aktif
- kegiatan
- aktor
- menambahkan
- Tambahan
- laporan
- pengacara
- terpengaruh
- diberikan
- Setelah
- badan
- Semua
- mengizinkan
- memungkinkan
- juga
- an
- dan
- dan infrastruktur
- Apa pun
- siapapun
- Muncul
- muncul
- Aplikasi
- Menerapkan
- ADALAH
- AS
- At
- menyerang
- penyerang
- Menyerang
- Serangan
- mengotentikasi
- Otentikasi
- berdasarkan
- BE
- karena
- TERBAIK
- Bertaruh
- Terbesar
- Blog
- broker
- Bug
- bug
- built-in
- bisnis
- by
- memotong
- CAN
- mampu
- gulat
- ceo
- rantai
- kode
- kedatangan
- komentar
- umum
- masyarakat
- kompromi
- Dikompromikan
- Perhatian
- Terhubung
- kontrol
- bisa
- membuat
- kritis
- Infrastruktur Penting
- Puncak gigi
- pelanggan
- maya
- Serangan cyber
- Keamanan cyber
- data
- Tanggal
- Hari
- memberikan
- menyebarkan
- dikerahkan
- Desktop
- Devices
- MELAKUKAN
- langsung
- Oleh
- Download
- akhir
- lingkungan
- eksekusi
- Mengeksploitasi
- eksploitasi
- dieksploitasi
- eksploitasi
- terkena
- ekstensi
- dihadapi
- File
- File
- ditandai
- Untuk
- Prinsip Dasar
- dari
- Mendapatkan
- mendapatkan
- baik
- Pemerintah
- Grup
- hacker
- Memiliki
- horison
- rumah sakit
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTTPS
- Ratusan
- mengidentifikasi
- in
- insiden
- Termasuk
- memang
- menunjukkan
- indikator
- Infrastruktur
- mulanya
- memulai
- dalam
- Instalasi
- contoh
- lembaga
- Intelijen
- maksud
- Antarmuka
- Internet
- ke
- isu
- Ditempatkan
- IT
- NYA
- jpg
- Menjaga
- kyle
- paling sedikit
- leveraging
- Li
- lisensi
- Mungkin
- terkait
- Daftar
- lokal
- Pemerintah lokal
- terletak
- mencari
- mesin
- Mesin
- utama
- Mayoritas
- jahat
- malware
- berhasil
- pengelolaan
- Massa
- Mungkin..
- Sementara itu
- mitigasi
- Senin
- pemantauan
- beberapa
- jaringan
- New
- berita
- tidak
- mencatat
- sekarang
- of
- on
- sekali
- ONE
- ke
- Buka
- or
- Lainnya
- kami
- di luar
- dipasangkan
- tambalan
- Patch
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- dimainkan
- PoC
- siap
- Pos
- potensi
- Mempersiapkan
- kehadiran
- kelaziman
- hak
- program
- perlindungan
- terbukti
- penyedia
- Mendorong
- segera
- Lereng
- ransomware
- RE
- terpencil
- Remote Access
- Pelaporan
- laporan
- peneliti
- Risiko
- bergulir
- akar
- berjalan
- s
- Tersebut
- mengatakan
- Kedua
- keamanan
- kerentanan keamanan
- terlihat
- Penjualan
- sensor
- Server
- layanan
- penyedia jasa
- set
- beberapa
- Yayasan Shadowserver
- Belanja
- harus
- sinyal
- mirip
- So
- Perangkat lunak
- sumber
- Disponsori
- awal
- mulai
- Negara
- menyatakan
- Masih
- tersimpan
- seperti itu
- Menyarankan
- menyediakan
- supply chain
- mendukung
- mencurigakan
- dengan cepat
- sistem
- sistem
- tech
- sepuluh
- bahwa
- Grafik
- mereka
- Mereka
- Sana.
- mereka
- ini
- itu
- meskipun?
- ribu
- ribuan
- ancaman
- aktor ancaman
- waktu
- untuk
- mengatakan
- alat
- Pelacakan
- Terpercaya
- Selasa
- tidak sah
- bawah
- ke atas
- us
- menggunakan
- bekas
- Pengguna
- menggunakan
- berbagai
- Ve
- versi
- Versi
- Korban
- Kerentanan
- kerentanan
- Rentan
- memperingatkan
- peringatan
- we
- Rabu
- adalah
- yang
- sementara
- SIAPA
- sangat
- Liar
- akan
- rela
- dengan
- dalam
- kerja
- bekerja
- lebih buruk
- zephyrnet.dll