באג קריטי של ConnectWise RMM מוכן למפולת ניצול

משתמשים בכלי לניהול שולחן העבודה המרוחק של ConnectWise ScreenConnect נמצאים תחת מתקפת סייבר פעילה, לאחר שניצול הוכחת מושג (PoC) צץ לפגיעות אבטחה קריטית ביותר בפלטפורמה. למצב יש פוטנציאל להתפוצץ לאירוע פשרה המוני, מזהירים החוקרים.

ניתן להשתמש ב-ScreenConnect על ידי תמיכה טכנית ואחרים כדי לאמת למכונה כאילו הם היו המשתמשים. ככזה, הוא מציע צינור לשחקני איומים המעוניינים לחדור לנקודות קצה בעלות ערך גבוה ולכל אזור אחר ברשתות ארגוניות שאליהם עשויה להיות גישה.

עקיפת אימות קריטית של ScreenConnect

בייעוץ ביום שני, ConnectWise חשפה מעקף אימות נושאת ציון של 10 מתוך 10 בסולם חומרת הפגיעות של CVSS; מלבד פתיחת דלת הכניסה למחשבים שולחניים ממוקדים, היא מאפשרת לתוקפים להגיע לבאג שני, שנחשף גם ביום שני, שהוא נושא מעבר נתיב (CVSS 8.4) המאפשר גישה לא מורשית לקבצים.

"הפגיעות הזו מאפשרת לתוקף ליצור משתמש אדמיניסטרטיבי משלו בשרת ScreenConnect, מה שמעניק לו שליטה מלאה על השרת", אמר ג'יימס הורסמן, מפתח ניצול Horizon3.ai, בבלוג היום. מספק פרטים טכניים על מעקף האישור ואינדיקטורים של פשרה (IoC). "פגיעות זו עוקבת אחר נושא של פגיעויות אחרונות אחרות המאפשרות לתוקפים לאתחל מחדש יישומים או ליצור משתמשים ראשוניים לאחר ההגדרה."

ביום שלישי, ConnectWise עדכנה את הייעוץ שלה כדי לאשר ניצול פעיל של הבעיות, שעדיין אין להן CVEs: "קיבלנו עדכונים של חשבונות שנפגעו שצוות התגובה שלנו לאירועים הצליח לחקור ולאשר." זה גם הוסיף רשימה נרחבת של IoCs.

בינתיים, פיוטר Kijewski, מנכ"ל ב-Shadowserver Foundation, אישר שראה בקשות ניצול ראשוניות בחיישני סיר הדבש של העמותה.

"בדוק אם יש סימני פשרה (כמו משתמשים חדשים שנוספו) ותיקון!" הוא הדגיש באמצעות רשימת התפוצה של Shadowserver, והוסיף כי נכון ליום שלישי, 93% מלאים ממופעי ScreenConnect עדיין היו פגיעים (כ-3,800 התקנות), רובם ממוקמים בארה"ב.

הפגיעויות משפיעות על ScreenConnect גרסאות 23.9.7 ואילך, ומשפיעות באופן ספציפי על התקנות באירוח עצמי או מקומי; לקוחות ענן המארחים שרתי ScreenConnect בדומיינים "screenconnect.com" או "hostedrmm.com" אינם מושפעים.

צפו מ-ConnectWise Exploitation ל-Snowball

בעוד ניסיונות הניצול הם בנפח נמוך כרגע, מייק וולטרס, נשיא ומייסד שותף של Action1, אמר בפרשנות שנשלחה בדוא"ל כי עסקים צריכים לצפות ל"השלכות אבטחה משמעותיות" מהבאגים של ConnectWise.

וולטרס, שגם אישר ניצול בטבע של הפגיעויות, אמר שהוא מצפה, פוטנציאלית, ל"אלפי מקרים שנפגעו". אבל לבעיות יש גם פוטנציאל להתפוצץ למתקפה רחבת טווח של שרשרת אספקה ​​שבה תוקפים חודרים לספקי שירותי אבטחה מנוהלים (MSSPs), ואז מסתננים ללקוחות העסקיים שלהם.

הוא הסביר, "המתקפה המסיבית המנצלת את הפגיעויות הללו עשויה להיות דומה ל- ניצול פגיעות Kaseya בשנת 2021, מכיוון ש-ScreenConnect הוא RMM פופולרי מאוד [כלי ניהול וניטור מרחוק] בקרב MSPs ו-MSSPs, ועלול לגרום לנזק דומה."

עד כה, גם חוקרי Huntress וגם חוקרים מצוות ההתקפה של Horizon3 פרסמו בפומבי PoCs עבור הבאגים, ואחרים בטוח יעקבו.

כדי להגן על עצמם, מנהלי ConnectWise SmartScreen צריכים לשדרג מיד לגרסה 23.9.8 כדי לתקן את המערכות שלהם, ולאחר מכן להשתמש ב-IoCs שסופקו כדי לחפש סימני ניצול.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/remote-workforce/critical-connectwise-rmm-bug-poised-exploitation-avalanche