משתמשים בכלי לניהול שולחן העבודה המרוחק של ConnectWise ScreenConnect נמצאים תחת מתקפת סייבר פעילה, לאחר שניצול הוכחת מושג (PoC) צץ לפגיעות אבטחה קריטית ביותר בפלטפורמה. למצב יש פוטנציאל להתפוצץ לאירוע פשרה המוני, מזהירים החוקרים.
ניתן להשתמש ב-ScreenConnect על ידי תמיכה טכנית ואחרים כדי לאמת למכונה כאילו הם היו המשתמשים. ככזה, הוא מציע צינור לשחקני איומים המעוניינים לחדור לנקודות קצה בעלות ערך גבוה ולכל אזור אחר ברשתות ארגוניות שאליהם עשויה להיות גישה.
עקיפת אימות קריטית של ScreenConnect
בייעוץ ביום שני, ConnectWise חשפה מעקף אימות נושאת ציון של 10 מתוך 10 בסולם חומרת הפגיעות של CVSS; מלבד פתיחת דלת הכניסה למחשבים שולחניים ממוקדים, היא מאפשרת לתוקפים להגיע לבאג שני, שנחשף גם ביום שני, שהוא נושא מעבר נתיב (CVSS 8.4) המאפשר גישה לא מורשית לקבצים.
"הפגיעות הזו מאפשרת לתוקף ליצור משתמש אדמיניסטרטיבי משלו בשרת ScreenConnect, מה שמעניק לו שליטה מלאה על השרת", אמר ג'יימס הורסמן, מפתח ניצול Horizon3.ai, בבלוג היום. מספק פרטים טכניים על מעקף האישור ואינדיקטורים של פשרה (IoC). "פגיעות זו עוקבת אחר נושא של פגיעויות אחרונות אחרות המאפשרות לתוקפים לאתחל מחדש יישומים או ליצור משתמשים ראשוניים לאחר ההגדרה."
ביום שלישי, ConnectWise עדכנה את הייעוץ שלה כדי לאשר ניצול פעיל של הבעיות, שעדיין אין להן CVEs: "קיבלנו עדכונים של חשבונות שנפגעו שצוות התגובה שלנו לאירועים הצליח לחקור ולאשר." זה גם הוסיף רשימה נרחבת של IoCs.
בינתיים, פיוטר Kijewski, מנכ"ל ב-Shadowserver Foundation, אישר שראה בקשות ניצול ראשוניות בחיישני סיר הדבש של העמותה.
"בדוק אם יש סימני פשרה (כמו משתמשים חדשים שנוספו) ותיקון!" הוא הדגיש באמצעות רשימת התפוצה של Shadowserver, והוסיף כי נכון ליום שלישי, 93% מלאים ממופעי ScreenConnect עדיין היו פגיעים (כ-3,800 התקנות), רובם ממוקמים בארה"ב.
הפגיעויות משפיעות על ScreenConnect גרסאות 23.9.7 ואילך, ומשפיעות באופן ספציפי על התקנות באירוח עצמי או מקומי; לקוחות ענן המארחים שרתי ScreenConnect בדומיינים "screenconnect.com" או "hostedrmm.com" אינם מושפעים.
צפו מ-ConnectWise Exploitation ל-Snowball
בעוד ניסיונות הניצול הם בנפח נמוך כרגע, מייק וולטרס, נשיא ומייסד שותף של Action1, אמר בפרשנות שנשלחה בדוא"ל כי עסקים צריכים לצפות ל"השלכות אבטחה משמעותיות" מהבאגים של ConnectWise.
וולטרס, שגם אישר ניצול בטבע של הפגיעויות, אמר שהוא מצפה, פוטנציאלית, ל"אלפי מקרים שנפגעו". אבל לבעיות יש גם פוטנציאל להתפוצץ למתקפה רחבת טווח של שרשרת אספקה שבה תוקפים חודרים לספקי שירותי אבטחה מנוהלים (MSSPs), ואז מסתננים ללקוחות העסקיים שלהם.
הוא הסביר, "המתקפה המסיבית המנצלת את הפגיעויות הללו עשויה להיות דומה ל- ניצול פגיעות Kaseya בשנת 2021, מכיוון ש-ScreenConnect הוא RMM פופולרי מאוד [כלי ניהול וניטור מרחוק] בקרב MSPs ו-MSSPs, ועלול לגרום לנזק דומה."
עד כה, גם חוקרי Huntress וגם חוקרים מצוות ההתקפה של Horizon3 פרסמו בפומבי PoCs עבור הבאגים, ואחרים בטוח יעקבו.
כדי להגן על עצמם, מנהלי ConnectWise SmartScreen צריכים לשדרג מיד לגרסה 23.9.8 כדי לתקן את המערכות שלהם, ולאחר מכן להשתמש ב-IoCs שסופקו כדי לחפש סימני ניצול.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/remote-workforce/critical-connectwise-rmm-bug-poised-exploitation-avalanche
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 10
- 23
- 7
- 8
- 800
- 9
- a
- יכול
- אודות
- גישה
- חשבונות
- פעיל
- שחקנים
- הוסיף
- מוסיף
- מנהלי
- ייעוץ
- להשפיע על
- מושפע
- לאחר
- AI
- להתיר
- מאפשר
- גם
- בין
- an
- ו
- כל
- יישומים
- ARE
- אזורים
- AS
- At
- לתקוף
- תוקף
- ניסיונות
- תודה
- לאמת
- אימות
- מפולת שלגים
- BE
- היה
- מלבד
- בלוג
- לפוצץ
- שניהם
- חרק
- באגים
- עסקים
- לקוחות עסקיים
- עסקים
- אבל
- by
- לעקוף
- CAN
- נושאת
- מנכ"ל
- שרשרת
- לבדוק
- ענן
- מייסד שותף
- COM
- פרשנות
- השוואה
- פשרה
- התפשר
- לאשר
- מְאוּשָׁר
- לִשְׁלוֹט
- משותף
- יכול
- לִיצוֹר
- קריטי
- לקוחות
- התקפת סייבר
- נזק
- שולחן העבודה
- פרטים
- מפתח
- תחומים
- דון
- דֶלֶת
- מוקדם יותר
- אירוע
- לצפות
- מוסבר
- לנצל
- ניצול
- מנצל
- נרחב
- רחוק
- שלח
- לעקוב
- כדלקמן
- בעד
- קרן
- החל מ-
- חזית
- מלא
- נתינה
- יש
- he
- אירוח
- HTTPS
- ציד
- מיד
- השלכות
- in
- תקרית
- תגובה לאירוע
- אינדיקטורים
- בתחילה
- אל תוך
- לחקור
- סוגיה
- בעיות
- IT
- שֶׁלָה
- ג'יימס
- jpg
- כמו
- רשימה
- ממוקם
- הסתכלות
- מכונה
- דיוור
- הצליח
- ניהול
- מסה
- מסיבי
- מאי..
- יכול
- מייק
- רֶגַע
- יום שני
- ניטור
- רוב
- רשתות
- חדש
- משתמשים חדשים
- ללא כוונת רווח
- of
- המיוחדות שלנו
- on
- פתיחה
- or
- אחר
- אחרים
- שלנו
- הַחוּצָה
- יותר
- שֶׁלוֹ
- תיקון
- Pivot
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- PoC
- שָׁקוּל
- פופולרי
- פוטנציאל
- פוטנציאל
- נשיא
- להגן
- ובלבד
- ספקים
- בפומבי
- לְהַגִיעַ
- קיבלו
- לאחרונה
- שוחרר
- מרחוק
- בקשות
- חוקרים
- תגובה
- תוצאה
- s
- אמר
- סולם
- ציון
- שְׁנִיָה
- אבטחה
- פגיעות אבטחה
- ראות
- חיישנים
- שרת
- שרתים
- שרות
- ספקי שירות
- התקנה
- קרן Shadowserver
- צריך
- משמעותי
- שלטים
- דומה
- מצב
- במיוחד
- ממומן
- עוד
- כזה
- לספק
- שרשרת אספקה
- תמיכה
- בטוח
- מערכות
- ממוקד
- נבחרת
- טק
- טכני
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- נושא
- עצמם
- אז
- אלה
- הֵם
- זֶה
- אם כי?
- אלפים
- איום
- איום שחקנים
- ל
- היום
- כלי
- יום שלישי
- לא מורשה
- תחת
- מְעוּדכָּן
- עדכונים
- שדרוג
- us
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- גרסה
- גירסאות
- מאוד
- באמצעות
- פגיעויות
- פגיעות
- פגיע
- אזהרה
- we
- היו
- אשר
- מי
- עוד
- זפירנט