La doar câteva zile după ce rapoartele inițiale de exploatare au început să apară pentru a vulnerabilitate critică de securitate în ConnectWise ScreenConnect Serviciul de gestionare a desktop-urilor la distanță, cercetătorii avertizează că un atac de proporții uriașe pe lanțul de aprovizionare ar putea fi pe cale să izbucnească.
Odată ce erorile sunt exploatate, hackerii vor obține acces de la distanță la „peste zece mii de servere care controlează sute de mii de puncte finale”, a spus CEO-ul Huntress, Kyle Hanslovan, într-un comentariu trimis prin e-mail, opinând că este timpul să ne pregătim pentru „cel mai mare incident de securitate cibernetică din 2024. .”
ScreenConnect poate fi folosit de suportul tehnic și de alții pentru a se autentifica la o mașină ca și cum ar fi utilizatorul. Ca atare, ar putea permite actorilor amenințărilor să se infiltreze în punctele finale de mare valoare și să le exploateze privilegiile.
Și mai rău, aplicația este utilizată pe scară largă de furnizorii de servicii gestionate (MSP) pentru a se conecta la mediile clienților, astfel încât poate deschide ușa și pentru actorii amenințărilor care doresc să folosească aceste MSP-uri pentru acces în aval, similar cu tsunami-ul atacurilor Kaseya cu care s-au confruntat afacerile în 2021.
ConnectWise Bugs Obțineți CVE
ConnectWise a dezvăluit bug-urile luni fără CVE, după care au apărut rapid exploatările proof-of-concept (PoC). Marți, ConnectWise a avertizat că erorile se află sub atac cibernetic activ. Până miercuri, mai mulți cercetători raportau o activitate cibernetică în bulgăre de zăpadă.
Vulnerabilitățile au acum CVE de urmărire. Unul dintre ele este un bypass de autentificare de severitate maximă (CVE-2024-1709, CVSS 10), care permite unui atacator cu acces la rețea la interfața de management să creeze un cont nou, la nivel de administrator, pe dispozitivele afectate. Poate fi asociat cu un al doilea bug, o problemă de traversare a căii (CVE-2024-1708, CVSS 8.4) care permite accesul neautorizat la fișiere.
Brokerii de acces inițial intensifică activitatea
Potrivit Fundației Shadowserver, există cel puțin 8,200 de instanțe vulnerabile ale platformei expuse la Internet în cadrul telemetriei sale, majoritatea fiind situate în SUA.
„CVE-2024-1709 este exploatat pe scară largă în sălbăticie: 643 de IP-uri văzute atacând până în prezent de către senzorii noștri”, spus într-o postare pe LinkedIn.
Cercetătorii Huntress au spus că o sursă din cadrul comunității de informații din SUA le-a spus asta brokeri de acces inițial (IAB) au început să se năpustească asupra erorilor pentru a se înființa în diferite puncte finale, cu intenția de a vinde acel acces la grupuri de ransomware.
Și într-adevăr, într-un caz, Huntress a observat atacatori cibernetici care foloseau vulnerabilitățile de securitate pentru a implementa ransomware către o administrație locală, inclusiv punctele finale probabil legate de sistemele 911.
„Prevalența absolută a acestui software și accesul oferit de această vulnerabilitate semnalează că suntem în pragul unui ransomware gratuit pentru toți”, a spus Hanslovan. „Spitalele, infrastructura critică și instituțiile de stat se dovedesc a fi în pericol.”
El a adăugat: „Și odată ce încep să-și dezvolte criptoarele de date, aș fi dispus să pariez că 90% din software-ul de securitate preventivă nu îl vor prinde, deoarece provine dintr-o sursă de încredere.”
Între timp, cercetătorii Bitdefender au coroborat activitatea, observând că actorii amenințărilor folosesc extensii rău intenționate pentru a implementa un program de descărcare capabil să instaleze programe malware suplimentare pe mașinile compromise.
„Am observat câteva cazuri de atacuri potențiale care folosesc folderul de extensii din ScreenConnect, [în timp ce instrumentele de securitate] sugerează prezența unui program de descărcare bazat pe instrumentul încorporat certutil.exe”, potrivit unui Postare pe blog Bitdefender despre activitatea cibernetică ConnectWise. „Actorii de amenințări folosesc în mod obișnuit acest instrument... pentru a iniția descărcarea de încărcături utile suplimentare rău intenționate în sistemul victimei.”
Agenția SUA pentru Securitate Cibernetică și Securitate a Infrastructurii (CISA) și-a adăugat erorile Catalogul de vulnerabilități exploatate cunoscute.
Atenuare pentru CVE-2024-1709, CVE-2024-1708
Versiunile locale până la 23.9.7 inclusiv sunt vulnerabile – astfel încât cea mai bună protecție este identificarea tuturor sistemelor în care este implementat ConnectWise ScreenConnect și aplicarea corecțiilor, emise cu ScreenConnect versiunea 23.9.8.
Organizațiile ar trebui, de asemenea, să urmărească indicatorii de compromis (IoC) enumerați de ConnectWise în avizul său. Cercetătorii Bitdefender susțin monitorizarea folderului „C:Program Files (x86)ScreenConnectApp_Extensions”; Bitdefender a semnalat că orice fișiere suspecte .ashx și .aspx stocate direct în rădăcina acelui folder poate indica executarea neautorizată a codului.
De asemenea, ar putea apărea o veste bună la orizont: „ConnectWise a declarat că a revocat licențele pentru serverele nepatchate și, deși nu este clar din partea noastră cum funcționează acest lucru, se pare că această vulnerabilitate este încă o preocupare majoră pentru oricine rulează o versiune vulnerabilă sau cine a făcut-o. nu corectează rapid”, au adăugat cercetătorii Bitdefender. „Aceasta nu înseamnă că acțiunile ConnectWise nu funcționează, nu suntem siguri cum s-a desfășurat acest lucru în acest moment.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
- :are
- :este
- :nu
- :Unde
- $UP
- 10
- 200
- 2021
- 2024
- 23
- 7
- 8
- 9
- a
- acces
- Conform
- Cont
- acțiuni
- activ
- activitate
- actori
- adăugat
- Suplimentar
- consultativ
- avocat
- afectat
- oferite
- După
- agenție
- TOATE
- permite
- permite
- de asemenea
- an
- și
- și infrastructură
- Orice
- oricine
- a apărut
- apare
- aplicație
- Aplicarea
- SUNT
- AS
- At
- ataca
- atacator
- atacare
- Atacuri
- autentifica
- Autentificare
- bazat
- BE
- deoarece
- CEL MAI BUN
- Pariu
- Cea mai mare
- Blog
- brokeri
- Bug
- gandaci
- construit-in
- întreprinderi
- by
- by-pass
- CAN
- capabil
- Captură
- CEO
- lanţ
- cod
- venire
- comentariu
- în mod obișnuit
- comunitate
- compromis
- compromis
- Îngrijorare
- Conectați
- Control
- ar putea
- crea
- critic
- Infrastructura critică
- Vârf
- client
- Cyber
- Atac cibernetic
- Securitate cibernetică
- de date
- Data
- Zi
- Oferă
- implementa
- dislocate
- desktop
- Dispozitive
- FĂCUT
- direct
- De
- Descarca
- capăt
- medii
- execuție
- Exploata
- exploatare
- exploatat
- exploit
- expus
- extensii
- cu care se confruntă
- Fișier
- Fişiere
- fanionat
- Pentru
- Fundație
- din
- Câştig
- obține
- bine
- Guvern
- Grupului
- hackeri
- Avea
- orizont
- spitale
- Cum
- HTTPS
- sute
- identificarea
- in
- incident
- Inclusiv
- într-adevăr
- indica
- Indicatorii
- Infrastructură
- inițială
- iniția
- în interiorul
- Instalarea
- instanță
- instituții
- Inteligență
- scop
- interfaţă
- Internet
- în
- problema
- Emis
- IT
- ESTE
- jpg
- A pastra
- Kyle
- cel mai puțin
- efectului de pârghie
- Li
- licențe
- Probabil
- legate de
- listat
- local
- Administrația locală
- situat
- cautati
- maşină
- Masini
- major
- Majoritate
- rău
- malware
- gestionate
- administrare
- Masa
- Mai..
- Între timp
- atenuare
- luni
- Monitorizarea
- multiplu
- reţea
- Nou
- ştiri
- Nu.
- observând
- acum
- of
- on
- dată
- ONE
- pe
- deschide
- or
- Altele
- al nostru
- afară
- împerecheat
- Plasture
- Patch-uri
- platformă
- Plato
- Informații despre date Platon
- PlatoData
- a jucat
- PoC
- gata
- Post
- potenţial
- Pregăti
- prezenţă
- răspândire
- privilegii
- Program
- protecţie
- dovedit
- furnizori
- împingerea
- repede
- Rampă
- Ransomware
- RE
- la distanta
- acces de la distanță
- Raportarea
- Rapoarte
- cercetători
- Risc
- Rulare
- rădăcină
- funcţionare
- s
- Said
- Spune
- Al doilea
- securitate
- vulnerabilitatea securității
- văzut
- De vânzare
- senzori
- Servere
- serviciu
- prestatori de servicii
- set
- câteva
- Fundația Shadowserver
- Magazin
- să
- semnalele
- asemănător
- So
- Software
- Sursă
- Sponsorizat
- Începe
- început
- Stat
- stabilit
- Încă
- stocate
- astfel de
- sugerează
- livra
- lanțului de aprovizionare
- a sustine
- suspicios
- rapid
- sistem
- sisteme
- tech
- zece
- acea
- lor
- Lor
- Acolo.
- ei
- acest
- aceste
- deşi?
- mie
- mii
- amenințare
- actori amenințători
- timp
- la
- a spus
- instrument
- Urmărire
- de încredere
- marţi
- neautorizat
- în
- în sus
- us
- utilizare
- utilizat
- Utilizator
- folosind
- diverse
- Ve
- versiune
- Versiunile
- Victimă
- Vulnerabilitățile
- vulnerabilitate
- vulnerabil
- a avertizat
- de avertizare
- we
- miercuri
- au fost
- care
- în timp ce
- OMS
- pe larg
- Sălbatic
- voi
- dispus
- cu
- în
- de lucru
- fabrică
- mai rău
- zephyrnet