ConnectWise ScreenConnect 원격 데스크톱 관리 도구 사용자는 플랫폼의 최대 보안 취약점에 대한 개념 증명(PoC) 공격이 드러난 후 활성 사이버 공격을 받고 있습니다. 이번 상황은 대규모 타협 사건으로 확대될 가능성이 있다고 연구원들은 경고하고 있습니다.
ScreenConnect는 기술 지원 및 다른 사람들이 마치 사용자인 것처럼 컴퓨터에 인증하는 데 사용될 수 있습니다. 따라서 이는 가치가 높은 엔드포인트와 그들이 액세스할 수 있는 기업 네트워크의 다른 영역에 침투하려는 위협 행위자에게 통로를 제공합니다.
중요한 ScreenConnect 인증 우회
월요일에 있었던 권고사항에서, ConnectWise가 인증 우회를 공개했습니다. CVSS 취약성 심각도 척도에서 10점 만점에 10점을 받았습니다. 이를 통해 공격자는 대상 데스크톱의 정문을 여는 것 외에도 월요일에 공개된 두 번째 버그에 도달할 수 있습니다. 이는 무단 파일 액세스를 허용하는 경로 탐색 문제(CVSS 8.4)입니다.
Horizon3.ai 익스플로잇 개발자인 James Horseman은 오늘 블로그에서 “이 취약점을 통해 공격자는 ScreenConnect 서버에 자신의 관리 사용자를 생성하여 서버에 대한 모든 권한을 부여할 수 있습니다.”라고 말했습니다. 인증 우회에 대한 기술적 세부정보를 제공합니다. 및 IoC(침해 지표). “이 취약점은 공격자가 애플리케이션을 다시 초기화하거나 설정 후 초기 사용자를 생성할 수 있도록 허용하는 다른 최근 취약점의 주제를 따릅니다.”
화요일에 ConnectWise는 아직 CVE가 없는 문제의 적극적인 악용을 확인하기 위해 권고를 업데이트했습니다. "우리는 사고 대응 팀이 조사하고 확인할 수 있었던 손상된 계정에 대한 업데이트를 받았습니다." 또한 광범위한 IoC 목록을 추가했습니다.
한편, Shadowserver Foundation의 CEO인 Piotr Kijewski는 비영리 단체의 허니팟 센서에서 초기 악용 요청이 확인되었음을 확인했습니다.
“(신규 사용자 추가 등) 침해 징후를 확인하고 패치하세요!” 그는 Shadowserver 메일링 리스트를 통해 화요일 현재 ScreenConnect 인스턴스의 전체 93%(약 3,800개 설치)가 여전히 취약하며 대부분이 미국에 있다고 덧붙였습니다.
이 취약점은 ScreenConnect 버전 23.9.7 이하에 영향을 미치며 특히 자체 호스팅 또는 온프레미스 설치에 영향을 미칩니다. "screenconnect.com" 또는 "hostedrmm.com" 도메인에서 ScreenConnect 서버를 호스팅하는 클라우드 고객은 영향을 받지 않습니다.
Snowball에 대한 ConnectWise 활용 기대
현재 악용 시도는 적지만 Action1의 사장이자 공동 창립자인 Mike Walters는 이메일 논평에서 기업이 ConnectWise 버그로 인해 "상당한 보안 영향"을 기대해야 한다고 말했습니다.
취약점의 실제 악용도 확인한 Walters는 잠재적으로 “수천 개의 손상된 인스턴스”가 발생할 것으로 예상한다고 말했습니다. 그러나 이 문제는 공격자가 MSSP(관리형 보안 서비스 제공업체)에 침투한 후 비즈니스 고객을 노리는 광범위한 공급망 공격으로 확대될 가능성도 있습니다.
그는 “이러한 취약점을 악용한 대규모 공격은 실제 공격과 유사할 수 있다”고 설명했다. 2021년 Kaseya 취약점 악용, ScreenConnect는 MSP와 MSSP 사이에서 매우 인기 있는 [원격 관리 및 모니터링 도구] RMM이며 이에 준하는 피해를 초래할 수 있기 때문입니다.”
지금까지 Huntress 연구원과 Horizon3 공격 팀의 연구원 모두 해당 버그에 대한 PoC를 공개적으로 발표했으며 다른 사람들도 이를 따를 것입니다.
자신을 보호하기 위해 ConnectWise SmartScreen 관리자는 즉시 버전 23.9.8로 업그레이드하여 시스템을 패치한 다음 제공된 IoC를 사용하여 악용 징후를 찾아야 합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/remote-workforce/critical-connectwise-rmm-bug-poised-exploitation-avalanche
- :있다
- :이다
- :아니
- $UP
- 10
- 23
- 7
- 8
- 800
- 9
- a
- 할 수 있는
- 소개
- ACCESS
- 계정
- 활동적인
- 배우
- 추가
- 첨가
- 관리
- 자문
- 영향을
- 영향을받은
- 후
- AI
- 수
- 수
- 또한
- 중
- an
- 및
- 어떤
- 어플리케이션
- 있군요
- 지역
- AS
- At
- 공격
- 공격자
- 시도
- 인증
- 인증
- 인증
- 눈사태
- BE
- 된
- 게다가
- 블로그
- 불어
- 두
- 곤충
- 버그
- 사업
- 비즈니스 고객
- 사업
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- 우회로
- CAN
- 적재
- 대표 이사
- 체인
- 검사
- 클라우드
- 공동 설립자
- COM
- 해설
- 유사한
- 타협
- 손상된
- 확인하기
- 확인 됨
- 제어
- Corporate
- 수
- 만들
- 임계
- 고객
- 사이버 공격
- 손해
- 바탕 화면
- 세부설명
- 개발자
- 도메인
- 돈
- 문
- 이전
- 이벤트
- 기대
- 설명
- 공적
- 착취
- 착취
- 광대 한
- 멀리
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 따라
- 다음
- 럭셔리
- Foundation
- 에
- 앞
- 가득 찬
- 기부
- 있다
- he
- 호스팅
- HTTPS
- 사냥
- 바로
- 의미
- in
- 사건
- 사고 대응
- 표시
- 처음에는
- 으로
- 조사
- 발행물
- 문제
- IT
- 그
- 제임스
- JPG
- 처럼
- 명부
- 위치한
- 찾고
- 기계
- 메일 링
- 관리
- 구축
- 질량
- 거대한
- XNUMX월..
- 수도
- 마이크
- 순간
- 월요일
- 모니터링
- 가장
- 네트워크
- 신제품
- 신규 사용자
- 비영리적인
- of
- 제공
- on
- 열기
- or
- 기타
- 기타
- 우리의
- 아웃
- 위에
- 자신의
- 패치
- 피벗
- 플랫폼
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- PoC
- 균형 잡힌
- 인기 문서
- 가능성
- 잠재적으로
- 대통령
- 보호
- 제공
- 제공
- 공개적으로
- 도달
- 접수
- 최근
- 출시
- 먼
- 요청
- 연구원
- 응답
- 결과
- s
- 말했다
- 규모
- 점수
- 둘째
- 보안
- 보안 취약점
- 보고
- 센서
- 섬기는 사람
- 서버
- 서비스
- 서비스 제공자
- 설치
- 그림자 서버 재단
- 영상을
- 상당한
- 안전표시
- 비슷한
- 사태
- 구체적으로
- 후원
- 아직도
- 이러한
- 공급
- 공급망
- SUPPORT
- 확인
- 시스템은
- 대상
- 팀
- 기술
- 테크니컬
- 그
- XNUMXD덴탈의
- 그들의
- 그들
- 테마
- 그들 자신
- 그때
- Bowman의
- 그들
- 이
- 그래도?
- 수천
- 위협
- 위협 행위자
- 에
- 오늘
- 수단
- 화요일
- 무단의
- 아래에
- 업데이트
- 업데이트
- 업그레이드
- us
- 사용
- 익숙한
- 사용자
- 사용자
- 버전
- 버전
- 대단히
- 를 통해
- 취약점
- 취약점
- 취약
- 경고
- we
- 했다
- 어느
- 누구
- 아직
- 제퍼 넷