Zaledwie kilka dni po tym, jak zaczęły napływać pierwsze raporty dotyczące eksploatacji krytyczna luka w zabezpieczeniach ConnectWise ScreenConnect usługi zarządzania zdalnym pulpitem, badacze ostrzegają, że może wybuchnąć atak na łańcuch dostaw na ogromną skalę.
Po wykorzystaniu błędów hakerzy uzyskają zdalny dostęp do „ponad dziesięciu tysięcy serwerów kontrolujących setki tysięcy punktów końcowych” – powiedział dyrektor generalny Huntress, Kyle Hanslovan, w komentarzu przesłanym pocztą elektroniczną, wyrażając opinię, że nadszedł czas, aby przygotować się na „największy incydent cyberbezpieczeństwa w 2024 r. .”
Pomoc techniczna i inne osoby mogą używać ScreenConnect do uwierzytelniania na komputerze tak, jakby był użytkownikiem. Jako taki może pozwolić podmiotom zagrażającym na infiltrację punktów końcowych o dużej wartości i wykorzystywanie ich przywilejów.
Co gorsza, aplikacja ta jest powszechnie wykorzystywana przez dostawców usług zarządzanych (MSP) do łączenia się ze środowiskami klientów, może zatem otworzyć drzwi podmiotom zagrażającym, które chcą wykorzystać tych dostawców usług MSP do uzyskania dostępu na późniejszym etapie, podobnie jak ma to miejsce w przypadku tsunami ataków Kaseya z jakimi borykały się przedsiębiorstwa w 2021 r.
Błędy ConnectWise Uzyskaj CVE
ConnectWise ujawniło błędy w poniedziałek bez CVE, po czym szybko pojawiły się exploity typu proof-of-concept (PoC). We wtorek ConnectWise ostrzegł, że błędy są przedmiotem aktywnego cyberataku. Do środy wielu badaczy zgłaszało rosnącą aktywność cybernetyczną.
Luki mają teraz śledzenie CVE. Jednym z nich jest obejście uwierzytelniania o maksymalnej wadze (CVE-2024-1709, CVSS 10), które umożliwia osobie atakującej mającej dostęp sieciowy do interfejsu zarządzania utworzenie nowego konta na poziomie administratora na zagrożonych urządzeniach. Można go połączyć z drugim błędem, problemem z przechodzeniem ścieżki (CVE-2024-1708, CVSS 8.4), który umożliwia nieautoryzowany dostęp do plików.
Brokerzy początkowego dostępu zwiększają aktywność
Według Fundacji Shadowserver co najmniej 8,200 instancji tej platformy jest narażonych na kontakt z Internetem w ramach jej telemetrii, przy czym większość z nich znajduje się w USA.
„CVE-2024-1709 jest powszechnie wykorzystywany w środowisku naturalnym: do tej pory nasze czujniki wykryły ataki 643 adresów IP” – czytamy w raporcie. powiedziane w poście na LinkedIn.
Badacze Huntress twierdzą, że powiedziało im to źródło w społeczności wywiadowczej USA brokerzy pierwszego dostępu (IAB) zaczęli wykorzystywać błędy, aby skonfigurować sklep w różnych punktach końcowych, z zamiarem sprzedaży tego dostępu grupom ransomware.
I rzeczywiście, w jednym przypadku Huntress zaobserwowała, że cyberprzestępcy wykorzystują luki w zabezpieczeniach do wdrażania oprogramowania ransomware w samorządach lokalnych, w tym w punktach końcowych prawdopodobnie powiązanych z systemami 911.
„Sama powszechność tego oprogramowania i dostęp, jaki zapewnia ta luka, sygnalizują, że jesteśmy o krok od bezpłatnego oprogramowania ransomware” – powiedział Hanslovan. „Udowodniono, że szpitale, infrastruktura krytyczna i instytucje państwowe są zagrożone”.
Dodał: „A kiedy zaczną wykorzystywać swoje programy szyfrujące dane, mogę się założyć, że 90% programów zabezpieczających nie wykryje tego, ponieważ pochodzi z zaufanego źródła”.
Tymczasem badacze Bitdefender potwierdzili to działanie, zauważając, że ugrupowania zagrażające wykorzystują złośliwe rozszerzenia w celu wdrożenia modułu pobierania zdolnego do instalowania dodatkowego złośliwego oprogramowania na zaatakowanych komputerach.
„Zauważyliśmy kilka przypadków potencjalnych ataków z wykorzystaniem folderu rozszerzeń programu ScreenConnect, [podczas gdy narzędzia zabezpieczające] sugerują obecność modułu pobierania opartego na wbudowanym narzędziu certutil.exe” – podaje specjalista ds. Wpis na blogu Bitdefender dotyczący aktywności cybernetycznej ConnectWise. „Przestępcy powszechnie wykorzystują to narzędzie… do inicjowania pobierania dodatkowych szkodliwych ładunków do systemu ofiary”.
Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) dodała błędy do swojego Katalog znanych wykorzystywanych luk w zabezpieczeniach.
Łagodzenie dla CVE-2024-1709, CVE-2024-1708
Wersje lokalne do 23.9.7 włącznie są podatne na ataki — dlatego najlepszą ochroną jest identyfikacja wszystkich systemów, w których wdrożono ConnectWise ScreenConnect, i zastosowanie poprawek wydanych z Wersja ScreenConnect 23.9.8.
Organizacje powinny również zwracać uwagę na wskaźniki kompromisu (IoC) wymienione przez ConnectWise w swoim poradniku. Badacze Bitdefender zalecają monitorowanie folderu „C:Program Files (x86)ScreenConnectApp_Extensions”; Bitdefender zasygnalizował, że wszelkie podejrzane pliki .ashx i .aspx przechowywane bezpośrednio w katalogu głównym tego folderu mogą wskazywać na wykonanie nieautoryzowanego kodu.
Poza tym na horyzoncie mogą pojawić się dobre wieści: „ConnectWise oświadczyło, że cofnęło licencje na serwery bez poprawek i chociaż z naszej strony nie jest jasne, jak to działa, wydaje się, że ta luka w dalszym ciągu stanowi poważny problem dla każdego, kto korzysta z wersji podatnej na ataki lub kto ją posiadał nie można szybko załatać” – dodali badacze Bitdefender. „Nie oznacza to, że działania ConnectWise nie działają. Nie jesteśmy pewni, jak to się obecnie potoczyło”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 10
- 200
- 2021
- 2024
- 23
- 7
- 8
- 9
- a
- dostęp
- Stosownie
- Konto
- działania
- aktywny
- działalność
- aktorzy
- w dodatku
- Dodatkowy
- doradczy
- rzecznik
- afektowany
- przyznane
- Po
- agencja
- Wszystkie kategorie
- dopuszczać
- pozwala
- również
- an
- i
- i infrastruktura
- każdy
- ktoś
- pojawił się
- pojawia się
- Zastosowanie
- Stosowanie
- SĄ
- AS
- At
- atakować
- napastnik
- Napadający
- Ataki
- uwierzytelniać
- Uwierzytelnianie
- na podstawie
- BE
- bo
- BEST
- Zakład
- Najwyższa
- Blog
- brokerów
- Bug
- błędy
- wbudowany
- biznes
- by
- bypass
- CAN
- zdolny
- zapasy
- ceo
- łańcuch
- kod
- przyjście
- komentarz
- powszechnie
- społeczność
- kompromis
- Zagrożone
- Troska
- Skontaktuj się
- kontrola
- mógłby
- Stwórz
- krytyczny
- Infrastruktura krytyczna
- Wierzchołek
- klient
- cyber
- Cyber atak
- Bezpieczeństwo cybernetyczne
- dane
- Data
- Dni
- dostarcza
- rozwijać
- wdrażane
- stacjonarny
- urządzenia
- ZROBIŁ
- bezpośrednio
- Drzwi
- pobieranie
- zakończenia
- środowiska
- egzekucja
- Wykorzystać
- eksploatacja
- eksploatowany
- exploity
- narażony
- rozszerzenia
- w obliczu
- filet
- Akta
- taflowy
- W razie zamówieenia projektu
- Fundacja
- od
- Wzrost
- otrzymać
- dobry
- Rząd
- Grupy
- hakerzy
- Have
- horyzont
- szpitale
- W jaki sposób
- HTTPS
- Setki
- identyfikacja
- in
- incydent
- Włącznie z
- rzeczywiście
- wskazać
- wskaźniki
- Infrastruktura
- początkowy
- zainicjować
- wewnątrz
- Instalacja
- przykład
- instytucje
- Inteligencja
- zamiar
- Interfejs
- Internet
- najnowszych
- problem
- Wydany
- IT
- JEGO
- jpg
- Trzymać
- Kyle
- najmniej
- lewarowanie
- Li
- licencje
- Prawdopodobnie
- powiązany
- Katalogowany
- miejscowy
- Samorząd
- usytuowany
- poszukuje
- maszyna
- maszyny
- poważny
- Większość
- złośliwy
- malware
- zarządzane
- i konserwacjami
- Masa
- Może..
- W międzyczasie
- łagodzenie
- Poniedziałek
- monitorowanie
- wielokrotność
- sieć
- Nowości
- aktualności
- Nie
- Zauważając
- już dziś
- of
- on
- pewnego razu
- ONE
- na
- koncepcja
- or
- Pozostałe
- ludzkiej,
- na zewnątrz
- sparowany
- Łata
- Łatki
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- grał
- PoC
- Gotowy
- Post
- potencjał
- Przygotować
- obecność
- rozpowszechnienie
- przywileje
- Program
- ochrona
- Sprawdzony
- dostawców
- Popychanie
- szybko
- Rampa
- ransomware
- RE
- zdalny
- zdalny dostęp
- Raportowanie
- Raporty
- Badacze
- Ryzyko
- Walcowanie
- korzeń
- bieganie
- s
- Powiedział
- powiedzieć
- druga
- bezpieczeństwo
- luka w zabezpieczeniach
- widziany
- Sprzedawanie
- czujniki
- Serwery
- usługa
- usługodawcy
- zestaw
- kilka
- Fundacja Shadowserver
- Sklep
- powinien
- Sygnały
- podobny
- So
- Tworzenie
- Źródło
- Łącza
- początek
- rozpoczęty
- Stan
- stwierdził,
- Nadal
- przechowywany
- taki
- Wskazuje
- Dostawa
- łańcuch dostaw
- wsparcie
- podejrzliwy
- szybko
- system
- systemy
- tech
- dziesięć
- że
- Połączenia
- ich
- Im
- Tam.
- one
- to
- tych
- chociaż?
- tysiąc
- tysiące
- groźba
- podmioty grożące
- czas
- do
- powiedział
- narzędzie
- Śledzenie
- zaufany
- Wtorek
- Nieupoważniony
- dla
- w górę
- us
- posługiwać się
- używany
- Użytkownik
- za pomocą
- różnorodny
- Ve
- wersja
- Wersje
- Ofiara
- Luki w zabezpieczeniach
- wrażliwość
- Wrażliwy
- ostrzeżony
- ostrzeżenie
- we
- Wednesday
- były
- który
- Podczas
- KIM
- szeroko
- Dziki
- będzie
- skłonny
- w
- w ciągu
- pracujący
- działa
- gorzej
- zefirnet