Kritisk ConnectWise RMM-feil klar for utnyttelsesskred

Kritisk ConnectWise RMM-feil klar for utnyttelsesskred

Tidsstempel: 21. februar 2024 3:59
Kritisk ConnectWise RMM-feil klar for utnyttelse Avalanche PlatoBlockchain Data Intelligence. Vertikalt søk. Ai.

Brukere av ConnectWise ScreenConnect eksternt skrivebordsadministrasjonsverktøy er under aktiv nettangrep, etter at en proof-of-concept (PoC)-utnyttelse dukket opp for en maksimalt kritisk sikkerhetssårbarhet i plattformen. Situasjonen har potensial til å blåse opp til en massekompromisshendelse, advarer forskere.

ScreenConnect kan brukes av teknisk støtte og andre til å autentisere til en maskin som om de var brukeren. Som sådan tilbyr den en kanal til trusselaktører som ønsker å infiltrere endepunkter med høy verdi og andre områder av bedriftsnettverk som de kan ha tilgang til.

Kritisk ScreenConnect Authentication Bypass

I et råd på mandag, ConnectWise avslørte en omgåelse av autentisering ha en poengsum på 10 av 10 på CVSS sårbarhetsalvorlighetsskala; i tillegg til å åpne inngangsdøren til målrettede stasjonære datamaskiner, lar det angripere komme til en ny feil, også avslørt på mandag, som er et problem med banegjennomgang (CVSS 8.4) som tillater uautorisert filtilgang.

"Denne sårbarheten lar en angriper opprette sin egen administrative bruker på ScreenConnect-serveren, og gir dem full kontroll over serveren," sa James Horseman, Horizon3.ai exploit-utvikler, i en blogg i dag. gir tekniske detaljer om godkjenningsbypass og kompromissindikatorer (IoC). "Denne sårbarheten følger et tema med andre nylige sårbarheter som lar angripere reinitialisere applikasjoner eller opprette første brukere etter oppsett."

Tirsdag oppdaterte ConnectWise sine råd for å bekrefte aktiv utnyttelse av problemene, som ennå ikke har CVEer: "Vi mottok oppdateringer av kompromitterte kontoer som vårt hendelsesresponsteam har vært i stand til å undersøke og bekrefte." Den la også til en omfattende liste over IoC-er.

I mellomtiden bekreftet Piotr Kijewski, administrerende direktør ved Shadowserver Foundation, at han så innledende forespørsler om utnyttelse i den ideelle organisasjonens honeypot-sensorer.

"Se etter tegn på kompromiss (som nye brukere lagt til) og lapp!" understreket han via Shadowserver-postlisten, og la til at fra og med tirsdag var hele 93 % av ScreenConnect-forekomstene fortsatt sårbare (ca. 3,800 installasjoner), de fleste av dem lokalisert i USA.

Sikkerhetene påvirker ScreenConnect versjoner 23.9.7 og tidligere, og påvirker spesifikt installasjoner som er vert for selv eller på stedet; skykunder som er vert for ScreenConnect-servere på «screenconnect.com»- eller «hostedrmm.com»-domenene, påvirkes ikke.

Forvent ConnectWise Exploitation til Snowball

Mens utnyttelsesforsøk er lavt volum for øyeblikket, sa Mike Walters, president og medgründer av Action1, i en e-postkommentar at bedrifter bør forvente "betydelige sikkerhetsimplikasjoner" fra ConnectWise-feilene.

Walters, som også bekreftet utnyttelse av sårbarhetene i naturen, sa å forvente, potensielt, «tusenvis av kompromitterte tilfeller». Men problemene har også potensial til å blåse opp til et omfattende forsyningskjedeangrep der overfallsmenn infiltrerer leverandører av administrerte sikkerhetstjenester (MSSPer), og deretter dreier seg til bedriftskunder.

Han forklarte: "Det massive angrepet som utnytter disse sårbarhetene kan ligne på Kaseya sårbarhetsutnyttelse i 2021, ettersom ScreenConnect er et veldig populært [fjernstyrings- og overvåkingsverktøy] RMM blant MSP-er og MSSP-er, og kan resultere i sammenlignbare skader."

Så langt har både Huntress-forskere og forskere fra Horizon3-angrepsteamet offentliggjort PoC-er for feilene, og andre vil garantert følge med.

For å beskytte seg selv, bør ConnectWise SmartScreen-administratorer oppgradere til versjon 23.9.8 umiddelbart for å lappe systemene sine, og deretter bruke IoC-ene for å lete etter tegn på utnyttelse.

Tidstempel:

Mer fra Mørk lesning