Krytyczny błąd ConnectWise RMM gotowy do wykorzystania przez lawinę

Użytkownicy narzędzia do zarządzania zdalnym pulpitem ConnectWise ScreenConnect znajdują się pod aktywnym cyberatakiem po ujawnieniu exploita typu proof-of-concept (PoC) polegającego na wykryciu maksymalnie krytycznej luki w zabezpieczeniach platformy. Naukowcy ostrzegają, że sytuacja może przerodzić się w masowy kompromis.

Pomoc techniczna i inne osoby mogą używać ScreenConnect do uwierzytelniania na komputerze tak, jakby był użytkownikiem. Jako taki stanowi kanał dla podmiotów zajmujących się zagrożeniami, które chcą infiltrować punkty końcowe o dużej wartości i wszelkie inne obszary sieci korporacyjnych, do których mogą mieć dostęp.

Krytyczne obejście uwierzytelniania ScreenConnect

W poniedziałkowym poradniku pt. ConnectWise ujawniło obejście uwierzytelniania uzyskanie wyniku 10 na 10 w skali ważności podatności CVSS; Oprócz otwierania drzwi wejściowych do docelowych komputerów stacjonarnych, umożliwia atakującym dotarcie do drugiego błędu, również ujawnionego w poniedziałek, a mianowicie problemu z przechodzeniem ścieżki (CVSS 8.4), który umożliwia nieautoryzowany dostęp do plików.

„Ta luka umożliwia atakującemu utworzenie własnego użytkownika administracyjnego na serwerze ScreenConnect, co daje mu pełną kontrolę nad serwerem” – powiedział James Horseman, twórca exploita Horizon3.ai, w dzisiejszym blogu, który zawiera szczegóły techniczne dotyczące obejścia uwierzytelniania oraz wskaźniki kompromisu (IoC). „Ta luka nawiązuje do innych niedawnych luk, które umożliwiają atakującym ponowne inicjowanie aplikacji lub tworzenie pierwszych użytkowników po instalacji”.

We wtorek ConnectWise zaktualizowało swoje powiadomienie, aby potwierdzić aktywne wykorzystanie problemów, które nie mają jeszcze CVE: „Otrzymaliśmy aktualizacje dotyczące zainfekowanych kont, które nasz zespół reagowania na incydenty był w stanie zbadać i potwierdzić”. Dodano także obszerną listę IoC.

Tymczasem Piotr Kijewski, dyrektor generalny Fundacji Shadowserver, potwierdził, że w czujnikach Honeypot tej organizacji non-profit widział wstępne prośby o wykorzystanie.

„Sprawdź, czy nie ma oznak kompromisu (takich jak dodanie nowych użytkowników) i załataj!” podkreślił za pośrednictwem listy mailingowej Shadowserver, dodając, że według stanu na wtorek pełne 93% instancji ScreenConnect nadal było podatnych na ataki (około 3,800 instalacji), a większość z nich znajdowała się w USA.

Luki dotyczą wersji ScreenConnect 23.9.7 i wcześniejszych, a szczególnie dotyczą instalacji hostowanych samodzielnie lub lokalnie; nie dotyczy to klientów cloud hostujących serwery ScreenConnect w domenach „screenconnect.com” lub „hostedrmm.com”.

Spodziewaj się wykorzystania ConnectWise w Snowball

Chociaż próby wykorzystania oprogramowania są obecnie niewielkie, Mike Walters, prezes i współzałożyciel Action1, stwierdził w komentarzu przesłanym pocztą elektroniczną, że firmy powinny spodziewać się „znaczących konsekwencji dla bezpieczeństwa” błędów ConnectWise.

Walters, który również potwierdził wykorzystanie luk w środowisku naturalnym, powiedział, że spodziewa się potencjalnie „tysięcy zainfekowanych instancji”. Problemy te mogą jednak również przerodzić się w szeroko zakrojony atak na łańcuch dostaw, podczas którego napastnicy infiltrują dostawców zarządzanych usług bezpieczeństwa (MSSP), a następnie zwracają się do ich klientów biznesowych.

Wyjaśnił: „Zmasowany atak wykorzystujący te luki może być podobny do Wykorzystanie luki Kaseya w 2021 roku, ponieważ ScreenConnect to bardzo popularne [narzędzie do zdalnego zarządzania i monitorowania] RMM wśród dostawców usług MSP i MSSP, które może skutkować porównywalnymi szkodami”.

Jak dotąd zarówno badacze Huntress, jak i badacze z zespołu atakującego Horizon3 opublikowali publicznie PoC dotyczące błędów, a inni z pewnością pójdą ich śladem.

Aby się zabezpieczyć, administratorzy ConnectWise SmartScreen powinni natychmiast dokonać aktualizacji do wersji 23.9.8 w celu załatania swoich systemów, a następnie skorzystać z dostarczonych IoC w celu wykrycia oznak wykorzystania.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/remote-workforce/critical-connectwise-rmm-bug-poised-exploitation-avalanche