最初の悪用報告が集まり始めてからわずか数日後、 ConnectWise ScreenConnect の重大なセキュリティ脆弱性 リモート デスクトップ管理サービスを利用して、大規模なサプライ チェーン攻撃が勃発する可能性があると研究者らは警告しています。
ひとたびバグが悪用されると、ハッカーは「数十万のエンドポイントを制御する2024万台以上のサーバー」にリモートアクセスできるようになる、とハントレスの最高経営責任者(CEO)カイル・ハンスロバン氏は電子メールによる解説で述べ、「XNUMX年最大のサイバーセキュリティインシデント」に備える時期が来ていると述べた。 」
ScreenConnect は、テクニカル サポートや他のユーザーがユーザーであるかのようにマシンを認証するために使用できます。そのため、脅威アクターが高価値のエンドポイントに侵入し、その特権を悪用する可能性があります。
さらに悪いことに、このアプリケーションは顧客環境に接続するためにマネージド サービス プロバイダー (MSP) によって広く使用されているため、これらの MSP をダウンストリーム アクセスに使用しようとする攻撃者に扉を開く可能性もあります。 加瀬谷の津波襲来 2021 年に企業が直面する課題。
ConnectWise のバグが CVE を取得する
ConnectWise は月曜日に CVE なしでバグを公開しましたが、その後すぐに概念実証 (PoC) エクスプロイトが登場しました。 ConnectWiseは火曜日、バグが活発なサイバー攻撃を受けていると警告した。水曜日までに複数の研究者が雪だるま式に増加するサイバー活動を報告していた。
脆弱性には追跡 CVE が追加されました。その 2024 つは最大重大度の認証バイパス (CVE-1709-10、CVSS 2024) で、これにより、管理インターフェイスへのネットワーク アクセスを持つ攻撃者が、影響を受けるデバイス上に新しい管理者レベルのアカウントを作成できるようになります。これは、1708 番目のバグである、不正なファイル アクセスを許可するパス トラバーサルの問題 (CVE-8.4-XNUMX、CVSS XNUMX) と組み合わされる可能性があります。
初期アクセス ブローカーの活動の強化
Shadowserver Foundation によると、テレメトリ内でインターネットに公開されているこのプラットフォームの脆弱なインスタンスが少なくとも 8,200 件あり、その大部分は米国にあります。
「CVE-2024-1709 は広く悪用されており、当社のセンサーによってこれまでに 643 の IP が攻撃されていることが確認されています。」 LinkedInの投稿で言った.
ハントレス研究者らは、米国諜報機関関係者が彼らに次のように語った、と述べた。 初期アクセス ブローカー (IAB) は、そのアクセスをランサムウェア グループに販売する目的で、さまざまなエンドポイント内に仕掛けるためにバグに飛びつき始めました。
そして実際、ある例では、サイバー攻撃者がセキュリティの脆弱性を利用して、911 システムに関連していると思われるエンドポイントを含む地方自治体にランサムウェアを展開しているのをハントレス氏は観察しました。
「このソフトウェアの蔓延とこの脆弱性によるアクセスは、私たちがランサムウェアの無料攻撃の瀬戸際にあることを示しています」とハンスロバン氏は述べた。 「病院、重要なインフラ、国家機関が危険にさらされていることが証明されています。」
同氏はさらに、「そして、ひとたび彼らがデータ暗号化を推進し始めたら、90%の予防的セキュリティソフトウェアはそれを捕らえられないと私は賭けたい。なぜなら、それは信頼できるソースからのものだからだ」と付け加えた。
一方、Bitdefender の研究者らは、この活動を裏付け、攻撃者が悪意のある拡張機能を使用して、侵害されたマシンに追加のマルウェアをインストールできるダウンローダーを展開していると指摘しました。
「ScreenConnect の拡張機能フォルダーを利用した潜在的な攻撃の事例がいくつか確認されていますが、[セキュリティ ツールは] certutil.exe 組み込みツールに基づくダウンローダーの存在を示唆しています」と、ある人物は述べています。 ConnectWise のサイバー活動に関する Bitdefender のブログ投稿。 「攻撃者は通常、このツールを使用して、被害者のシステムへの追加の悪意のあるペイロードのダウンロードを開始します。」
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は、このバグを 既知の悪用された脆弱性カタログ.
CVE-2024-1709、CVE-2024-1708 の緩和策
23.9.7 までのオンプレミス バージョンは脆弱です。そのため、最良の保護策は、ConnectWise ScreenConnect が展開されているすべてのシステムを特定し、次のパッチを適用することです。 ScreenConnect バージョン 23.9.8.
組織は、ConnectWise がアドバイザリーにリストしている侵害の痕跡 (IoC) にも常に注意を払う必要があります。 Bitdefender の研究者は、「C:Program Files (x86)ScreenConnectApp_Extensions」フォルダーを監視することを主張しています。 Bitdefender は、そのフォルダーのルートに直接保存されている不審な .ashx および .aspx ファイルは、不正なコードの実行を示している可能性があるとフラグを立てました。
また、良いニュースが近づいている可能性もあります。「ConnectWise は、パッチが適用されていないサーバーのライセンスを取り消したと発表しました。これがどのように機能するかは私たちには不明ですが、この脆弱性は、脆弱なバージョンを実行している人、または実行した人にとって依然として大きな懸念事項であるようです」すぐにパッチを適用しないと」とBitdefenderの研究者は付け加えた。 「これはConnectWiseのアクションが機能していないと言っているわけではありません。現時点ではこれがどのように起こったのかはわかりません。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
- :持っている
- :は
- :not
- :どこ
- $UP
- 10
- 200
- 2021
- 2024
- 23
- 7
- 8
- 9
- a
- アクセス
- 従った
- 行動
- アクティブ
- アクティビティ
- 俳優
- 追加されました
- NEW
- アドバイザリー
- 支持者
- 影響を受けました
- 与えられた
- 後
- 代理店
- すべて
- 許す
- ことができます
- また
- an
- および
- とインフラ
- どれか
- 誰も
- 登場
- 登場する
- 申し込み
- 適用
- です
- AS
- At
- 攻撃
- アタッカー
- 攻撃
- 攻撃
- 認証
- 認証
- ベース
- BE
- なぜなら
- BEST
- 賭ける
- 最大の
- ブログ
- ブローカー
- バグ
- バグ
- 内蔵
- ビジネス
- by
- 缶
- できる
- レスリング
- 最高経営責任者(CEO)
- チェーン
- コード
- 到来
- 解説
- 一般に
- コミュニティ
- 妥協
- 損害を受けた
- 懸念
- お問合せ
- コントロール
- 可能性
- 作ります
- 重大な
- 重要インフラ
- カスプ
- 顧客
- サイバー
- サイバー攻撃
- サイバーセキュリティ
- データ
- 日付
- 日
- 提供します
- 展開します
- 展開
- デスクトップ
- Devices
- DID
- 直接に
- によって
- ダウンロード
- end
- 環境
- 実行
- 悪用する
- 搾取
- 搾取
- エクスプロイト
- 露出した
- エクステンション
- 直面して
- File
- フラグが立てられた
- Foundation
- から
- 利得
- 取得する
- 良い
- 政府・公共機関
- グループの
- ハッカー
- 持ってる
- 地平線
- 病院
- 認定条件
- HTTPS
- 何百
- 識別
- in
- 事件
- 含めて
- 確かに
- 示す
- インジケータ
- インフラ
- 初期
- 開始する
- 内部
- インストールする
- 機関
- インテリジェンス
- 意図
- インタフェース
- インターネット
- に
- 問題
- 発行済み
- IT
- ITS
- JPG
- キープ
- カイル
- 最低
- 活用
- Li
- ライセンス
- 可能性が高い
- リンク
- リストされた
- ローカル
- 地方自治体
- 位置して
- 探して
- 機械
- マシン
- 主要な
- 大多数
- 悪意のある
- マルウェア
- マネージド
- 管理
- 質量
- 五月..
- その間
- 緩和
- 月曜日
- モニタリング
- の試合に
- ネットワーク
- 新作
- ニュース
- いいえ
- 注記
- 今
- of
- on
- かつて
- ONE
- 〜に
- 開いた
- or
- その他
- 私たちの
- でる
- 対になった
- パッチ
- パッチ
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 演奏
- PoC
- 態勢を整えた
- ポスト
- 潜在的な
- 準備
- プレゼンス
- 流行
- 特権
- 演奏曲目
- 保護
- 実績のある
- プロバイダ
- 押す
- すぐに
- ランプ
- ランサムウェア
- RE
- リモート
- リモートアクセス
- 各種レポート作成
- レポート
- 研究者
- リスク
- 圧延
- ルート
- ランニング
- s
- 前記
- 言う
- 二番
- セキュリティ
- セキュリティ脆弱性
- 見て
- 販売
- センサー
- サーバー
- サービス
- サービスプロバイダ
- セッションに
- いくつかの
- シャドウサーバー財団
- オンラインストア
- すべき
- 信号
- 同様の
- So
- ソフトウェア
- ソース
- スポンサー
- start
- 開始
- 都道府県
- 明記
- まだ
- 保存され
- そのような
- 提案する
- 供給
- サプライチェーン
- サポート
- 疑わしい
- 素早く
- システム
- テク
- 10
- それ
- アプリ環境に合わせて
- それら
- そこ。
- 彼ら
- この
- それらの
- しかし?
- 千
- 数千
- 脅威
- 脅威アクター
- 時間
- 〜へ
- 言われ
- ツール
- 追跡
- 信頼されている
- 火曜日
- 無許可
- 下
- 上向き
- us
- つかいます
- 中古
- ユーザー
- さまざまな
- Ve
- バージョン
- バージョン
- 被害者
- 脆弱性
- 脆弱性
- 脆弱な
- 警告
- 警告
- we
- Wednesday
- した
- which
- while
- 誰
- 広く
- ワイルド
- 意志
- 喜んで
- 以内
- ワーキング
- 作品
- もっと悪い
- ゼファーネット