Bug crítico do ConnectWise RMM preparado para exploração de avalanche

Os usuários da ferramenta de gerenciamento de desktop remoto ConnectWise ScreenConnect estão sob ataque cibernético ativo, depois que uma exploração de prova de conceito (PoC) surgiu para uma vulnerabilidade de segurança extremamente crítica na plataforma. A situação tem o potencial de explodir num evento de compromisso em massa, alertam os investigadores.

O ScreenConnect pode ser usado pelo suporte técnico e outros para se autenticar em uma máquina como se fosse o usuário. Como tal, oferece um canal para os agentes de ameaças que procuram infiltrar-se em endpoints de alto valor e em quaisquer outras áreas de redes corporativas às quais possam ter acesso.

Ignorar autenticação crítica do ScreenConnect

Em um comunicado na segunda-feira, ConnectWise divulgou um desvio de autenticação carregar uma pontuação de 10 em 10 na escala de gravidade de vulnerabilidade CVSS; além de abrir a porta de entrada para desktops direcionados, permite que invasores alcancem um segundo bug, também divulgado na segunda-feira, que é um problema de passagem de caminho (CVSS 8.4) que permite acesso não autorizado a arquivos.

“Esta vulnerabilidade permite que um invasor crie seu próprio usuário administrativo no servidor ScreenConnect, dando-lhe controle total sobre o servidor”, disse James Horseman, desenvolvedor de exploração Horizon3.ai, em um blog hoje que fornece detalhes técnicos sobre o desvio de autenticação e indicadores de compromisso (IoC). “Esta vulnerabilidade segue um tema de outras vulnerabilidades recentes que permitem que invasores reinicializem aplicativos ou criem usuários iniciais após a configuração.”

Na terça-feira, a ConnectWise atualizou seu comunicado para confirmar a exploração ativa dos problemas, que ainda não possuem CVEs: “Recebemos atualizações de contas comprometidas que nossa equipe de resposta a incidentes conseguiu investigar e confirmar”. Ele também adicionou uma extensa lista de IoCs.

Enquanto isso, Piotr Kijewski, CEO da Shadowserver Foundation, confirmou ter visto solicitações iniciais de exploração nos sensores honeypot da organização sem fins lucrativos.

“Verifique se há sinais de comprometimento (como novos usuários adicionados) e patch!” ele enfatizou por meio da lista de discussão do Shadowserver, acrescentando que até terça-feira, 93% das instâncias do ScreenConnect ainda estavam vulneráveis ​​(cerca de 3,800 instalações), a maioria delas localizadas nos EUA.

As vulnerabilidades afetam as versões 23.9.7 e anteriores do ScreenConnect e afetam especificamente instalações auto-hospedadas ou locais; clientes em nuvem que hospedam servidores ScreenConnect nos domínios “screenconnect.com” ou “hostedrmm.com” não são afetados.

Espere que a exploração do ConnectWise se torne uma bola de neve

Embora as tentativas de exploração sejam de baixo volume no momento, Mike Walters, presidente e cofundador da Action1, disse em comentários por e-mail que as empresas deveriam esperar “implicações de segurança significativas” dos bugs do ConnectWise.

Walters, que também confirmou a exploração das vulnerabilidades, disse esperar, potencialmente, “milhares de instâncias comprometidas”. Mas os problemas também têm o potencial de se transformar num ataque abrangente à cadeia de abastecimento, no qual os agressores se infiltram em fornecedores de serviços de segurança geridos (MSSPs) e depois se voltam para os seus clientes empresariais.

Ele explicou: “O ataque massivo que explora essas vulnerabilidades pode ser semelhante ao Exploração da vulnerabilidade Kaseya em 2021, já que o ScreenConnect é um RMM [ferramenta de gerenciamento remoto e monitoramento] muito popular entre MSPs e MSSPs e pode resultar em danos comparáveis.”

Até agora, tanto os pesquisadores da Huntress quanto os da equipe de ataque Horizon3 lançaram publicamente PoCs para os bugs, e outros certamente o seguirão.

Para se protegerem, os administradores do ConnectWise SmartScreen devem atualizar imediatamente para a versão 23.9.8 para corrigir seus sistemas e, em seguida, usar os IoCs fornecidos para procurar sinais de exploração.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/remote-workforce/critical-connectwise-rmm-bug-poised-exploitation-avalanche