Slechts enkele dagen nadat de eerste exploitatierapporten binnenstroomden voor een kritiek beveiligingsprobleem in ConnectWise ScreenConnect externe desktopbeheerservice waarschuwen onderzoekers dat er een supply chain-aanval van buitensporige proporties op het punt staat uit te barsten.
Zodra de bugs zijn uitgebuit, zullen hackers op afstand toegang krijgen tot “meer dan tienduizend servers die honderdduizenden eindpunten controleren”, zei Kyle Hanslovan, CEO van Huntress, in een commentaar per e-mail, waarin hij meende dat het tijd is om zich voor te bereiden op “het grootste cyberveiligheidsincident van 2024. .”
ScreenConnect kan door technische ondersteuning en anderen worden gebruikt om zich bij een machine te authenticeren alsof zij de gebruiker zijn. Als zodanig zou het bedreigingsactoren in staat kunnen stellen hoogwaardige eindpunten te infiltreren en hun privileges te exploiteren.
Erger nog, de applicatie wordt veel gebruikt door Managed Service Providers (MSP's) om verbinding te maken met klantomgevingen, waardoor het ook de deur kan openen voor bedreigingsactoren die deze MSP's willen gebruiken voor downstream-toegang, vergelijkbaar met de tsunami van Kaseya-aanvallen waarmee bedrijven in 2021 te maken kregen.
ConnectWise-bugs Krijg CVE's
ConnectWise maakte de bugs maandag zonder CVE’s bekend, waarna al snel proof-of-concept (PoC) exploits opdoken. Dinsdag waarschuwde ConnectWise dat de bugs onderhevig waren aan een actieve cyberaanval. Woensdag rapporteerden meerdere onderzoekers een sneeuwbaleffect op het gebied van cyberactiviteiten.
De kwetsbaarheden hebben nu tracking-CVE's. Eén daarvan is een omzeiling van de maximale ernst van de authenticatie (CVE-2024-1709, CVSS 10), waarmee een aanvaller met netwerktoegang tot de beheerinterface een nieuw account op beheerdersniveau kan maken op de betrokken apparaten. Het kan worden gecombineerd met een tweede bug, een pad-traversal-probleem (CVE-2024-1708, CVSS 8.4) dat ongeautoriseerde toegang tot bestanden mogelijk maakt.
Makelaars voor initiële toegang verhogen de activiteit
Volgens de Shadowserver Foundation zijn er minstens 8,200 kwetsbare exemplaren van het platform blootgesteld aan internet binnen zijn telemetrie, waarvan het merendeel zich in de VS bevindt.
“CVE-2024-1709 wordt op grote schaal in het wild uitgebuit: tot nu toe zijn 643 IP’s door onze sensoren aangevallen”, zegt het rapport. zei in een LinkedIn-bericht.
Huntress-onderzoekers zeiden dat een bron binnen de Amerikaanse inlichtingengemeenschap hen dat vertelde initiële toegangsmakelaars (IAB's) zijn begonnen met het aanpakken van de bugs om zich binnen verschillende eindpunten te vestigen, met de bedoeling die toegang aan ransomware-groepen te verkopen.
En inderdaad, in één geval observeerde Huntress cyberaanvallers die de beveiligingskwetsbaarheden gebruikten om ransomware in te zetten bij een lokale overheid, inclusief eindpunten die waarschijnlijk gekoppeld waren aan 911-systemen.
“De enorme prevalentie van deze software en de toegang die deze kwetsbaarheid biedt, geeft aan dat we aan de vooravond staan van een ransomware die voor iedereen gratis is”, aldus Hanslovan. “Ziekenhuizen, kritieke infrastructuur en staatsinstellingen lopen gevaar.”
Hij voegde eraan toe: “En zodra ze hun data-encryptors gaan pushen, durf ik te wedden dat 90% van de preventieve beveiligingssoftware het niet zal opvangen omdat het afkomstig is van een vertrouwde bron.”
Bitdefender-onderzoekers bevestigden de activiteit ondertussen en merkten op dat bedreigingsactoren kwaadaardige extensies gebruiken om een downloader te implementeren die in staat is om extra malware op besmette machines te installeren.
"We hebben verschillende gevallen opgemerkt van potentiële aanvallen waarbij gebruik wordt gemaakt van de extensiemap van ScreenConnect, [terwijl beveiligingstools] de aanwezigheid suggereren van een downloader gebaseerd op de ingebouwde tool certutil.exe", aldus een Bitdefender-blogpost over de ConnectWise-cyberactiviteit. “Dreigingsactoren gebruiken deze tool vaak … om het downloaden van extra kwaadaardige ladingen op het systeem van het slachtoffer te initiëren.”
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft de bugs aan haar programma toegevoegd Catalogus met bekende misbruikte kwetsbaarheden.
Mitigatie voor CVE-2024-1709, CVE-2024-1708
Lokale versies tot en met 23.9.7 zijn kwetsbaar. De beste bescherming bestaat dus uit het identificeren van alle systemen waarop ConnectWise ScreenConnect is geïmplementeerd en het toepassen van de patches, uitgegeven met ScreenConnect-versie 23.9.8.
Organisaties moeten ook letten op indicatoren van compromissen (IoC's) die door ConnectWise in haar advies worden vermeld. Bitdefender-onderzoekers pleiten voor het monitoren van de map “C:Program Files (x86)ScreenConnectApp_Extensions”; Bitdefender heeft aangegeven dat verdachte .ashx- en .aspx-bestanden die rechtstreeks in de hoofdmap van die map zijn opgeslagen, kunnen duiden op ongeautoriseerde uitvoering van code.
Er zou ook goed nieuws aan de horizon kunnen zijn: “ConnectWise verklaarde dat ze licenties voor niet-gepatchte servers hebben ingetrokken, en hoewel het aan onze kant onduidelijk is hoe dit werkt, lijkt het erop dat deze kwetsbaarheid nog steeds een grote zorg is voor iedereen die een kwetsbare versie gebruikt of die dat wel heeft gedaan niet snel patchen”, voegden Bitdefender-onderzoekers toe. “Dit wil niet zeggen dat de acties van ConnectWise niet werken; we weten op dit moment niet zeker hoe dit heeft uitgepakt.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
- : heeft
- :is
- :niet
- :waar
- $UP
- 10
- 200
- 2021
- 2024
- 23
- 7
- 8
- 9
- a
- toegang
- Volgens
- Account
- acties
- actieve
- activiteit
- actoren
- toegevoegd
- Extra
- adviserend
- advocaat
- beïnvloed
- veroorloofd
- Na
- agentschap
- Alles
- toelaten
- toestaat
- ook
- an
- en
- en infrastructuur
- elke
- iedereen
- verscheen
- komt naar voren
- Aanvraag
- Het toepassen van
- ZIJN
- AS
- At
- aanvallen
- aanvaller
- Aanvallen
- Aanvallen
- waarmerken
- authenticatie
- gebaseerde
- BE
- omdat
- BEST
- Wedden
- Grootste
- Blog
- brokers
- Bug
- bugs
- ingebouwd
- ondernemingen
- by
- bypass
- CAN
- in staat
- het worstelen
- ceo
- keten
- code
- komst
- commentaar
- algemeen
- gemeenschap
- compromis
- Aangetast
- Bezorgdheid
- Verbinden
- onder controle te houden
- kon
- en je merk te creëren
- kritisch
- Kritische infrastructuur
- vooravond
- klant
- cyber
- Cyber aanval
- Cybersecurity
- gegevens
- Datum
- dagen
- levert
- implementeren
- ingezet
- desktop
- systemen
- DEED
- direct
- Deur
- Download
- einde
- omgevingen
- uitvoering
- Exploiteren
- exploitatie
- Exploited
- exploits
- blootgestelde
- extensies
- geconfronteerd
- Dien in
- Bestanden
- markeerde
- Voor
- Foundation
- oppompen van
- Krijgen
- krijgen
- goed
- Overheid
- Groep
- Hackers
- Hebben
- horizont
- ziekenhuizen
- Hoe
- HTTPS
- Honderden
- het identificeren van
- in
- incident
- Inclusief
- inderdaad
- aangeven
- indicatoren
- Infrastructuur
- eerste
- beginnen
- binnen
- installeren
- instantie
- instellingen
- Intelligentie
- aandachtig
- Interface
- Internet
- in
- kwestie
- Uitgegeven
- IT
- HAAR
- jpg
- Houden
- kyle
- minst
- leveraging
- Li
- licenties
- Waarschijnlijk
- gekoppeld
- opgesomd
- lokaal
- Plaatselijke overheid
- gelegen
- op zoek
- machine
- Machines
- groot
- Meerderheid
- kwaadaardig
- malware
- beheerd
- management
- Massa
- Mei..
- Ondertussen
- verzachting
- maandag
- Grensverkeer
- meervoudig
- netwerk
- New
- nieuws
- geen
- opmerkend
- nu
- of
- on
- eens
- EEN
- naar
- open
- or
- Overig
- onze
- uit
- gepaarde
- Patch
- Patches
- platform
- Plato
- Plato gegevensintelligentie
- PlatoData
- gespeeld
- PoC
- klaar
- Post
- potentieel
- Voorbereiden
- aanwezigheid
- overwicht
- voorrechten
- Programma
- bescherming
- bewezen
- providers
- voortvarend
- snel
- Ramp
- ransomware
- RE
- vanop
- remote access
- Rapportage
- Rapporten
- onderzoekers
- Risico
- Rollen
- wortel
- lopend
- s
- Zei
- ervaren
- Tweede
- veiligheid
- beveiligingslek
- gezien
- binnen XNUMX minuten
- sensor
- Servers
- service
- dienstverleners
- reeks
- verscheidene
- Stichting Shadowserver
- Winkel
- moet
- signalen
- gelijk
- So
- Software
- bron
- Gesponsorde
- begin
- gestart
- Land
- bepaald
- Still
- opgeslagen
- dergelijk
- Stelt voor
- leveren
- toeleveringsketen
- ondersteuning
- verdacht
- snel
- system
- Systems
- tech
- tien
- dat
- De
- hun
- Ze
- Er.
- ze
- dit
- die
- toch?
- duizend
- duizenden kosten
- bedreiging
- bedreigingsactoren
- niet de tijd of
- naar
- vertelde
- tools
- Tracking
- vertrouwde
- dinsdag
- onbevoegd
- voor
- omhoog
- us
- .
- gebruikt
- Gebruiker
- gebruik
- divers
- Ve
- versie
- versies
- Slachtoffer
- kwetsbaarheden
- kwetsbaarheid
- Kwetsbaar
- waarschuwde
- waarschuwing
- we
- woensdag
- waren
- welke
- en
- WIE
- wijd
- Wild
- wil
- gewillig
- Met
- binnen
- werkzaam
- Bedrijven
- erger
- zephyrnet