Bare dager etter at de første utnyttelsesrapportene begynte å rulle inn for en kritisk sikkerhetssårbarhet i ConnectWise ScreenConnect administrasjonstjeneste for eksternt skrivebord, advarer forskere at et forsyningskjedeangrep av store proporsjoner kan være klar til å bryte ut.
Når feilene er utnyttet, vil hackere få ekstern tilgang til "over ti tusen servere som kontrollerer hundretusenvis av endepunkter," sa Huntress-sjef Kyle Hanslovan i en e-postkommentar, og mente at det er på tide å forberede seg på "den største cybersikkerhetshendelsen i 2024 ."
ScreenConnect kan brukes av teknisk støtte og andre til å autentisere til en maskin som om de var brukeren. Som sådan kan det tillate trusselaktører å infiltrere endepunkter av høy verdi og utnytte privilegiene deres.
Enda verre, applikasjonen er mye brukt av administrerte tjenesteleverandører (MSP) for å koble til kundemiljøer, så den kan også åpne døren for trusselaktører som ønsker å bruke disse MSP-ene for nedstrømstilgang, i likhet med tsunami av Kaseya-angrep som bedrifter møtte i 2021.
ConnectWise-feil Hent CVE-er
ConnectWise avslørte feilene på mandag uten CVE-er, hvoretter proof-of-concept (PoC) utnyttelser raskt dukket opp. Tirsdag advarte ConnectWise om at feilene var under aktiv nettangrep. På onsdag rapporterte flere forskere snøballende cyberaktivitet.
Sårbarhetene har nå sporings-CVE-er. En av dem er en maks-alvorlighetsautentiseringsomkjøring (CVE-2024-1709, CVSS 10), som lar en angriper med nettverkstilgang til administrasjonsgrensesnittet opprette en ny konto på administratornivå på berørte enheter. Den kan kobles sammen med en andre feil, et problem med banegjennomgang (CVE-2024-1708, CVSS 8.4) som tillater uautorisert filtilgang.
Innledende tilgangsmeglere ramper opp aktivitet
I følge Shadowserver Foundation er det minst 8,200 sårbare forekomster av plattformen eksponert for Internett innenfor telemetrien, hvorav de fleste er lokalisert i USA.
«CVE-2024-1709 er mye utnyttet i naturen: 643 IP-er har hittil sett angripe av sensorene våre,» sa i et LinkedIn-innlegg.
Huntress-forskere sa at en kilde i det amerikanske etterretningsmiljøet fortalte dem det innledende tilgangsmeglere (IAB) har begynt å se på feilene for å sette opp butikk innenfor ulike endepunkter, med den hensikt å selge den tilgangen til løsepengevaregrupper.
Og faktisk, i ett tilfelle observerte Huntress nettangripere som brukte sikkerhetssårbarhetene for å distribuere løsepengevare til en lokal regjering, inkludert endepunkter som sannsynligvis er knyttet til 911-systemer.
"Den rene utbredelsen av denne programvaren og tilgangen som denne sårbarheten gir, signaliserer at vi er på randen av en løsepengevare gratis for alle," sa Hanslovan. "Sykehus, kritisk infrastruktur og statlige institusjoner er bevist i fare."
Han la til: "Og når de begynner å presse datakrypteringene sine, vil jeg være villig til å satse på at 90 % av forebyggende sikkerhetsprogramvare ikke vil fange det fordi det kommer fra en pålitelig kilde."
Bitdefender-forskere bekreftet i mellomtiden aktiviteten og bemerket at trusselaktører bruker ondsinnede utvidelser for å distribuere en nedlaster som er i stand til å installere ytterligere skadelig programvare på kompromitterte maskiner.
"Vi har lagt merke til flere tilfeller av potensielle angrep som utnytter utvidelsesmappen til ScreenConnect, [mens sikkerhetsverktøy] antyder tilstedeværelsen av en nedlaster basert på det innebygde verktøyet certutil.exe," ifølge en Bitdefender-blogginnlegg om ConnectWise-cyberaktiviteten. "Trusselaktører bruker vanligvis dette verktøyet ... for å starte nedlastingen av ytterligere ondsinnede nyttelaster til offerets system."
US Cybersecurity and Infrastructure Security Agency (CISA) har lagt til feilene til sin Katalog med kjente utnyttede sårbarheter.
Begrensning for CVE-2024-1709, CVE-2024-1708
Lokale versjoner til og med 23.9.7 er sårbare – så den beste beskyttelsen er å identifisere alle systemer der ConnectWise ScreenConnect er distribuert og bruke oppdateringene, utstedt med ScreenConnect versjon 23.9.8.
Organisasjoner bør også holde utkikk etter indikatorer på kompromiss (IoCs) listet opp av ConnectWise i sin rådgivning. Bitdefender-forskere anbefaler å overvåke mappen "C: Program Files (x86)ScreenConnectApp_Extensions"; Bitdefender flagget at alle mistenkelige .ashx- og .aspx-filer lagret direkte i roten av den mappen kan indikere uautorisert kodekjøring.
Det kan også være gode nyheter i horisonten: "ConnectWise uttalte at de tilbakekalte lisenser for uoppdaterte servere, og selv om det er uklart fra vår side hvordan dette fungerer, ser det ut til at denne sårbarheten fortsatt er en stor bekymring for alle som kjører en sårbar versjon eller som gjorde det. ikke lappe raskt," la Bitdefender-forskere til. "Dette er ikke å si at ConnectWises handlinger ikke fungerer, vi er usikre på hvordan dette utspilte seg på dette tidspunktet."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
- : har
- :er
- :ikke
- :hvor
- $OPP
- 10
- 200
- 2021
- 2024
- 23
- 7
- 8
- 9
- a
- adgang
- Ifølge
- Logg inn
- handlinger
- aktiv
- aktivitet
- aktører
- la til
- Ytterligere
- rådgivende
- advokat
- påvirkes
- råd til
- Etter
- byrå
- Alle
- tillate
- tillater
- også
- an
- og
- og infrastruktur
- noen
- noen
- dukket opp
- vises
- Søknad
- påføring
- ER
- AS
- At
- angripe
- angriper
- angripe
- Angrep
- godkjenne
- Autentisering
- basert
- BE
- fordi
- BEST
- Bet
- Biggest
- Blogg
- meglere
- Bug
- bugs
- innebygd
- bedrifter
- by
- bypass
- CAN
- stand
- Catch
- konsernsjef
- kjede
- kode
- kommer
- kommentaren
- vanligvis
- samfunnet
- kompromiss
- kompromittert
- Bekymring
- Koble
- kontroll
- kunne
- skape
- kritisk
- Kritisk infrastruktur
- cusp
- kunde
- cyber
- Cyber angrep
- Cybersecurity
- dato
- Dato
- Dager
- leverer
- utplassere
- utplassert
- desktop
- Enheter
- gJORDE
- direkte
- Av
- nedlasting
- slutt
- miljøer
- gjennomføring
- Exploit
- utnytting
- Exploited
- exploits
- utsatt
- utvidelser
- møtt
- filet
- Filer
- flaggede
- Til
- Fundament
- fra
- Gevinst
- få
- god
- Regjeringen
- Gruppens
- hackere
- Ha
- horisont
- sykehus
- Hvordan
- HTTPS
- Hundrevis
- identifisering
- in
- hendelse
- Inkludert
- faktisk
- indikerer
- indikatorer
- Infrastruktur
- innledende
- initiere
- innsiden
- installere
- f.eks
- institusjoner
- Intelligens
- hensikt
- Interface
- Internet
- inn
- utstedelse
- Utstedt
- IT
- DET ER
- jpg
- Hold
- Kyle
- minst
- utnytte
- Li
- lisenser
- Sannsynlig
- knyttet
- oppført
- lokal
- Lokal regjering
- ligger
- ser
- maskin
- maskiner
- større
- Flertall
- skadelig
- malware
- fikk til
- ledelse
- Mass
- Kan..
- Mellomtiden
- skadebegrensning
- mandag
- overvåking
- flere
- nettverk
- Ny
- nyheter
- Nei.
- merke seg
- nå
- of
- on
- gang
- ONE
- videre til
- åpen
- or
- andre
- vår
- ut
- sammen
- patch
- Patches
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- spilt
- PoC
- klar
- Post
- potensiell
- Forbered
- tilstedeværelse
- utbredelse
- privilegier
- program
- beskyttelse
- utprøvd
- tilbydere
- Skyver
- raskt
- Rampe
- ransomware
- RE
- fjernkontroll
- fjerntilgang
- Rapportering
- Rapporter
- forskere
- Risiko
- rullende
- root
- rennende
- s
- Sa
- sier
- Sekund
- sikkerhet
- sikkerhetsproblem
- sett
- Å Sell
- sensorer
- Servere
- tjeneste
- tjenestetilbydere
- sett
- flere
- Shadowserver Foundation
- Shop
- bør
- signaler
- lignende
- So
- Software
- kilde
- Sponset
- Begynn
- startet
- Tilstand
- uttalte
- Still
- lagret
- slik
- foreslår
- levere
- forsyningskjeden
- støtte
- mistenkelig
- raskt
- system
- Systemer
- tech
- ti
- Det
- De
- deres
- Dem
- Der.
- de
- denne
- De
- selv om?
- tusen
- tusener
- trussel
- trusselaktører
- tid
- til
- fortalte
- verktøy
- Sporing
- klarert
- tirsdag
- uautorisert
- etter
- oppover
- us
- bruke
- brukt
- Bruker
- ved hjelp av
- ulike
- Ve
- versjon
- versjoner
- Offer
- Sikkerhetsproblemer
- sårbarhet
- Sårbar
- advarte
- advarsel
- we
- onsdag
- var
- hvilken
- mens
- HVEM
- allment
- Wild
- vil
- villig
- med
- innenfor
- arbeid
- virker
- verre
- zephyrnet