Pochi giorni dopo che i primi rapporti sullo sfruttamento iniziarono ad arrivare per a vulnerabilità critica della sicurezza in ConnectWise ScreenConnect servizio di gestione desktop remoto, i ricercatori avvertono che un attacco alla catena di approvvigionamento di proporzioni enormi potrebbe essere sul punto di scoppiare.
Una volta sfruttati i bug, gli hacker otterranno l’accesso remoto a “più di diecimila server che controllano centinaia di migliaia di endpoint”, ha affermato Kyle Hanslovan, CEO di Huntress, in un commento via email, sostenendo che è tempo di prepararsi per “il più grande incidente di sicurezza informatica del 2024”. .”
ScreenConnect può essere utilizzato dal supporto tecnico e da altri per autenticarsi su una macchina come se fosse l'utente. In quanto tale, potrebbe consentire agli autori delle minacce di infiltrarsi negli endpoint di alto valore e sfruttare i loro privilegi.
Ancor peggio, l'applicazione è ampiamente utilizzata dai fornitori di servizi gestiti (MSP) per connettersi agli ambienti dei clienti, quindi può anche aprire la porta ad autori di minacce che desiderano utilizzare tali MSP per l'accesso a valle, in modo simile a lo tsunami degli attacchi di Kaseya che le imprese hanno dovuto affrontare nel 2021.
Bug ConnectWise Ottieni CVE
ConnectWise ha rivelato i bug lunedì senza CVE, dopodiché sono apparsi rapidamente gli exploit proof-of-concept (PoC). Martedì, ConnectWise ha avvertito che i bug erano sotto attacco informatico attivo. Mercoledì, diversi ricercatori hanno segnalato un’attività informatica a valanga.
Le vulnerabilità ora hanno il tracciamento CVE. Uno di questi è un bypass di autenticazione con gravità massima (CVE-2024-1709, CVSS 10), che consente a un utente malintenzionato con accesso di rete all'interfaccia di gestione di creare un nuovo account a livello di amministratore sui dispositivi interessati. Può essere abbinato a un secondo bug, un problema di attraversamento del percorso (CVE-2024-1708, CVSS 8.4) che consente l'accesso non autorizzato ai file.
I broker di accesso iniziale intensificano l'attività
Secondo la Shadowserver Foundation, ci sono almeno 8,200 istanze vulnerabili della piattaforma esposte a Internet all'interno della sua telemetria, la maggior parte delle quali si trova negli Stati Uniti.
"CVE-2024-1709 è ampiamente sfruttato in natura: 643 IP sono stati attaccati finora dai nostri sensori", si legge detto in un post su LinkedIn.
I ricercatori di Huntress hanno detto che una fonte all'interno della comunità dell'intelligence americana lo ha detto loro broker di accesso iniziale (IAB) hanno iniziato ad avventarsi sui bug per aprire negozi all'interno di vari endpoint, con l'intento di vendere tale accesso a gruppi di ransomware.
E in effetti, in un caso, Huntress ha osservato gli hacker utilizzare le vulnerabilità della sicurezza per distribuire ransomware a un governo locale, inclusi endpoint probabilmente collegati ai sistemi dei servizi di emergenza.
"L'assoluta prevalenza di questo software e l'accesso consentito da questa vulnerabilità segnalano che siamo sull'orlo di un ransomware gratuito per tutti", ha affermato Hanslovan. “Gli ospedali, le infrastrutture critiche e le istituzioni statali sono a rischio”.
Ha aggiunto: "E una volta che inizieranno a spingere i loro crittografi di dati, sarei disposto a scommettere che il 90% dei software di sicurezza preventiva non lo rilevano perché proviene da una fonte attendibile."
I ricercatori di Bitdefender, nel frattempo, hanno confermato l'attività, notando che gli autori delle minacce stanno utilizzando estensioni dannose per implementare un downloader in grado di installare malware aggiuntivo sulle macchine compromesse.
"Abbiamo notato diversi casi di potenziali attacchi che sfruttano la cartella delle estensioni di ScreenConnect, [mentre gli strumenti di sicurezza] suggeriscono la presenza di un downloader basato sullo strumento integrato certutil.exe", secondo un Post del blog di Bitdefender sull'attività informatica di ConnectWise. "Gli autori delle minacce utilizzano comunemente questo strumento... per avviare il download di ulteriori payload dannosi sul sistema della vittima."
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto i bug alla sua Catalogo delle vulnerabilità sfruttate note.
Mitigazione per CVE-2024-1709, CVE-2024-1708
Le versioni locali fino alla 23.9.7 inclusa sono vulnerabili, quindi la migliore protezione consiste nell'identificare tutti i sistemi in cui è distribuito ConnectWise ScreenConnect e nell'applicare le patch rilasciate con ScreenConnect versione 23.9.8.
Le organizzazioni dovrebbero inoltre prestare attenzione agli indicatori di compromissione (IoC) elencati da ConnectWise nel suo advisory. I ricercatori di Bitdefender sostengono il monitoraggio della cartella "C:Program Files (x86)ScreenConnectApp_Extensions"; Bitdefender ha segnalato che qualsiasi file .ashx e .aspx sospetto archiviato direttamente nella radice di quella cartella potrebbe indicare l'esecuzione di codice non autorizzato.
Inoltre, potrebbero esserci buone notizie all'orizzonte: "ConnectWise ha dichiarato di aver revocato le licenze per i server senza patch e, sebbene non sia chiaro da parte nostra come funzioni, sembra che questa vulnerabilità sia ancora una delle principali preoccupazioni per chiunque utilizzi una versione vulnerabile o chi l'ha fatto." non applicare patch rapidamente", hanno aggiunto i ricercatori di Bitdefender. "Questo non vuol dire che le azioni di ConnectWise non funzionino, non siamo sicuri di come sia andata a finire in questo momento."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
- :ha
- :È
- :non
- :Dove
- $ SU
- 10
- 200
- 2021
- 2024
- 23
- 7
- 8
- 9
- a
- accesso
- Secondo
- Il mio account
- azioni
- attivo
- attività
- attori
- aggiunto
- aggiuntivo
- consultivo
- avvocato
- influenzato
- offerto
- Dopo shavasana, sedersi in silenzio; saluti;
- agenzia
- Tutti
- consentire
- consente
- anche
- an
- ed
- e infrastruttura
- in qualsiasi
- chiunque
- apparso
- appare
- Applicazioni
- AMMISSIONE
- SONO
- AS
- At
- attacco
- aggressore
- Attaccare
- attacchi
- autenticare
- Autenticazione
- basato
- BE
- perché
- MIGLIORE
- Scommettere
- Maggiore
- Blog
- brokers
- Insetto
- bug
- incassato
- aziende
- by
- aggirare
- Materiale
- capace
- lotta
- ceo
- catena
- codice
- arrivo
- commento
- comunemente
- comunità
- compromesso
- Compromissione
- Problemi della Pelle
- Connettiti
- di controllo
- potuto
- creare
- critico
- Infrastruttura critica
- Cuspide
- cliente
- Cyber
- Attacco informatico
- Cybersecurity
- dati
- Data
- Giorni
- fornisce un monitoraggio
- schierare
- schierato
- tavolo
- dispositivi
- DID
- direttamente
- Porta
- scaricare
- fine
- ambienti
- esecuzione
- Sfruttare
- sfruttamento
- Exploited
- gesta
- esposto
- estensioni
- di fronte
- Compila il
- File
- contrassegnato
- Nel
- Fondazione
- da
- Guadagno
- ottenere
- buono
- Enti Pubblici
- Gruppo
- hacker
- Avere
- orizzonte
- ospedali
- Come
- HTTPS
- centinaia
- identificazione
- in
- incidente
- Compreso
- infatti
- indicare
- Infrastruttura
- inizialmente
- avviare
- interno
- installazione
- esempio
- istituzioni
- Intelligence
- intento
- Interfaccia
- Internet
- ai miglioramenti
- problema
- Rilasciato
- IT
- SUO
- jpg
- mantenere
- kyle
- meno
- leveraging
- Li
- licenze
- probabile
- connesso
- elencati
- locale
- Il governo locale
- collocato
- cerca
- macchina
- macchine
- maggiore
- Maggioranza
- maligno
- il malware
- gestito
- gestione
- Massa
- Maggio..
- Nel frattempo
- attenuazione
- Lunedì
- monitoraggio
- multiplo
- Rete
- New
- notizie
- no
- notando
- adesso
- of
- on
- una volta
- ONE
- su
- aprire
- or
- Altri
- nostro
- su
- accoppiato
- Toppa
- Patch
- piattaforma
- Platone
- Platone Data Intelligence
- PlatoneDati
- giocato
- PoC
- in bilico
- Post
- potenziale
- Preparare
- presenza
- prevalenza
- privilegi
- Programma
- protezione
- comprovata
- fornitori
- spingendo
- rapidamente
- Rampa
- ransomware
- RE
- a distanza
- accesso remoto
- Reportistica
- Report
- ricercatori
- Rischio
- rotolamento
- radice
- running
- s
- Suddetto
- dire
- Secondo
- problemi di
- vulnerabilità della sicurezza
- visto
- Vendita
- sensore
- Server
- servizio
- fornitori di servizi
- set
- alcuni
- Fondazione Shadowserver
- Shop
- dovrebbero
- Segnali
- simile
- So
- Software
- Fonte
- Sponsored
- inizia a
- iniziato
- Regione / Stato
- ha dichiarato
- Ancora
- memorizzati
- tale
- suggerisce
- fornire
- supply chain
- supporto
- sospettoso
- rapidamente
- sistema
- SISTEMI DI TRATTAMENTO
- Tech
- carnagione
- che
- Il
- loro
- Li
- Là.
- di
- questo
- quelli
- anche se?
- mille
- migliaia
- minaccia
- attori della minaccia
- tempo
- a
- detto
- Tracking
- di fiducia
- Martedì
- non autorizzato
- per
- verso l'alto
- us
- uso
- utilizzato
- Utente
- utilizzando
- vario
- Ve
- versione
- versioni
- Vittima
- vulnerabilità
- vulnerabilità
- Vulnerabile
- avvertito
- identificazione dei warning
- we
- Mercoledì
- sono stati
- quale
- while
- OMS
- ampiamente
- Selvaggio
- volere
- disposto
- con
- entro
- lavoro
- lavori
- peggio
- zefiro