Kritieke ConnectWise RMM-bug klaar voor exploitatielawine

Gebruikers van de ConnectWise ScreenConnect tool voor extern desktopbeheer worden actief aangevallen door een cyberaanval, nadat een proof-of-concept (PoC)-exploit aan het licht kwam voor een maximaal kritiek beveiligingslek in het platform. De situatie heeft het potentieel om uit te monden in een massale compromisgebeurtenis, waarschuwen onderzoekers.

ScreenConnect kan door technische ondersteuning en anderen worden gebruikt om zich bij een machine te authenticeren alsof zij de gebruiker zijn. Als zodanig biedt het een kanaal voor bedreigingsactoren die hoogwaardige eindpunten en andere delen van bedrijfsnetwerken willen infiltreren waartoe zij mogelijk toegang hebben.

Kritieke ScreenConnect-verificatie omzeilen

In een advies van maandag ConnectWise heeft een authenticatieomzeiling bekendgemaakt met een score van 10 op 10 op de ernstschaal van de CVSS-kwetsbaarheid; Naast het openen van de voordeur naar gerichte desktops, kunnen aanvallers een tweede bug bereiken, die ook maandag werd onthuld, namelijk een path-traversal-probleem (CVSS 8.4) dat ongeautoriseerde toegang tot bestanden mogelijk maakt.

“Dankzij deze kwetsbaarheid kan een aanvaller zijn eigen beheerder op de ScreenConnect-server aanmaken, waardoor hij of zij volledige controle over de server krijgt”, zegt James Horseman, exploitontwikkelaar van Horizon3.ai, vandaag in een blog. biedt technische details over de auth-bypass en indicatoren van compromis (IoC). “Deze kwetsbaarheid volgt een thema van andere recente kwetsbaarheden waardoor aanvallers applicaties opnieuw kunnen initialiseren of initiële gebruikers kunnen creëren na de installatie.”

Dinsdag heeft ConnectWise zijn advies bijgewerkt om actieve exploitatie van de problemen, die nog geen CVE's hebben, te bevestigen: "We hebben updates ontvangen van gecompromitteerde accounts die ons incidentresponsteam heeft kunnen onderzoeken en bevestigen." Het voegde ook een uitgebreide lijst met IoC's toe.

Ondertussen bevestigde Piotr Kijewski, CEO van de Shadowserver Foundation, dat hij initiële exploitatieverzoeken zag in de honeypot-sensoren van de non-profitorganisatie.

"Controleer op tekenen van compromis (zoals nieuwe gebruikers toegevoegd) en patch!" benadrukte hij via de Shadowserver-mailinglijst, eraan toevoegend dat vanaf dinsdag maar liefst 93% van de ScreenConnect-instanties nog steeds kwetsbaar was (ongeveer 3,800 installaties), waarvan de meeste zich in de VS bevonden.

De kwetsbaarheden zijn van invloed op ScreenConnect-versies 23.9.7 en eerder, en specifiek op zelf-gehoste of on-premises installaties; cloudklanten die ScreenConnect-servers hosten op de domeinen “screenconnect.com” of “hostedrmm.com” worden niet beïnvloed.

Verwacht ConnectWise-exploitatie tot sneeuwbal

Hoewel het aantal exploitpogingen op dit moment beperkt is, zei Mike Walters, president en medeoprichter van Action1, in een commentaar per e-mail dat bedrijven “aanzienlijke veiligheidsimplicaties” van de ConnectWise-bugs mogen verwachten.

Walters, die ook de in-the-wild exploitatie van de kwetsbaarheden bevestigde, zei potentieel “duizenden gecompromitteerde gevallen” te verwachten. Maar de problemen kunnen ook uitmonden in een grootschalige aanval op de toeleveringsketen, waarbij aanvallers infiltreren in Managed Security Service Providers (MSSP's) en zich vervolgens richten op hun zakelijke klanten.

Hij legde uit: “De massale aanval die misbruik maakt van deze kwetsbaarheden kan vergelijkbaar zijn met de Uitbuiting van Kaseya-kwetsbaarheden in 2021, aangezien ScreenConnect een zeer populaire RMM [tool voor beheer en monitoring op afstand] is onder MSP's en MSSP's, en tot vergelijkbare schade zou kunnen leiden."

Tot nu toe hebben zowel Huntress-onderzoekers als onderzoekers van het Horizon3-aanvalsteam publiekelijk PoC’s voor de bugs vrijgegeven, en anderen zullen zeker volgen.

Om zichzelf te beschermen moeten ConnectWise SmartScreen-beheerders onmiddellijk upgraden naar versie 23.9.8 om hun systemen te patchen en vervolgens de geleverde IoC's gebruiken om te zoeken naar tekenen van uitbuiting.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/remote-workforce/critical-connectwise-rmm-bug-poised-exploitation-avalanche