Utilizatorii instrumentului de gestionare a desktopului de la distanță ConnectWise ScreenConnect sunt supuși unui atac cibernetic activ, după ce a apărut o exploatare proof-of-concept (PoC) pentru o vulnerabilitate de securitate maximă critică a platformei. Situația are potențialul de a exploda într-un eveniment de compromis în masă, avertizează cercetătorii.
ScreenConnect poate fi folosit de suportul tehnic și de alții pentru a se autentifica la o mașină ca și cum ar fi utilizatorul. Ca atare, oferă un canal pentru amenințătorii care doresc să se infiltreze în punctele finale de mare valoare și în orice alte zone ale rețelelor corporative la care ar putea avea acces.
Ocolire critică de autentificare ScreenConnect
Într-un aviz de luni, ConnectWise a dezvăluit un bypass de autentificare realizarea unui scor de 10 din 10 pe scala de severitate a vulnerabilității CVSS; pe lângă deschiderea ușii din față către desktop-uri vizate, le permite atacatorilor să ajungă la o a doua eroare, dezvăluită și luni, care este o problemă de traversare a căii (CVSS 8.4) care permite accesul neautorizat la fișiere.
„Această vulnerabilitate permite unui atacator să-și creeze propriul utilizator administrativ pe serverul ScreenConnect, oferindu-i control total asupra serverului”, a declarat James Horseman, dezvoltator de exploatare Horizon3.ai, într-un blog de astăzi care oferă detalii tehnice despre bypass-ul de autorizare și indicatori de compromis (IoC). „Această vulnerabilitate urmează o temă a altor vulnerabilități recente care permit atacatorilor să reinițialeze aplicații sau să creeze utilizatori inițiali după configurare.”
Marți, ConnectWise și-a actualizat avizul pentru a confirma exploatarea activă a problemelor, care încă nu au CVE: „Am primit actualizări ale conturilor compromise pe care echipa noastră de răspuns la incident a putut să le investigheze și să le confirme”. De asemenea, a adăugat o listă extinsă de IoC.
Între timp, Piotr Kijewski, CEO la Shadowserver Foundation, a confirmat că a văzut cereri inițiale de exploatare în senzorii honeypot ai organizației nonprofit.
„Verificați semnele de compromis (cum ar fi adăugate utilizatori noi) și corectați!” a subliniat el prin intermediul listei de corespondență Shadowserver, adăugând că, de marți, 93% dintre instanțele ScreenConnect erau încă vulnerabile (aproximativ 3,800 de instalări), majoritatea fiind situate în SUA.
Vulnerabilitățile afectează versiunile ScreenConnect 23.9.7 și anterioare și afectează în mod specific instalările auto-găzduite sau locale; Clienții cloud care găzduiesc servere ScreenConnect pe domeniile „screenconnect.com” sau „hostedrmm.com” nu sunt afectați.
Așteptați-vă la Exploatarea ConnectWise la Snowball
În timp ce încercările de exploatare au un volum redus în acest moment, Mike Walters, președinte și co-fondator al Action1, a spus într-un comentariu trimis prin e-mail că întreprinderile ar trebui să se aștepte la „implicații semnificative de securitate” de la erorile ConnectWise.
Walters, care a confirmat, de asemenea, exploatarea în sălbăticie a vulnerabilităților, a spus că se așteaptă, potențial, „mii de instanțe compromise”. Dar problemele au, de asemenea, potențialul de a exploda într-un atac amplu al lanțului de aprovizionare, în care atacatorii se infiltrează în furnizorii de servicii de securitate gestionate (MSSP), apoi pivotează către clienții lor de afaceri.
El a explicat: „Atacul masiv care exploatează aceste vulnerabilități poate fi similar cu Exploatarea vulnerabilității Kaseya în 2021, deoarece ScreenConnect este un RMM [instrument de management și monitorizare la distanță] foarte popular printre MSP și MSSP și ar putea duce la daune comparabile.”
Până acum, atât cercetătorii Huntress, cât și cercetătorii din echipa de atac Horizon3 au lansat public PoC-uri pentru erori, iar alții vor urma cu siguranță.
Pentru a se proteja, administratorii ConnectWise SmartScreen ar trebui să facă imediat upgrade la versiunea 23.9.8 pentru a-și corecta sistemele, apoi să folosească IoC-urile furnizate pentru a căuta semne de exploatare.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/remote-workforce/critical-connectwise-rmm-bug-poised-exploitation-avalanche
- :are
- :este
- :nu
- $UP
- 10
- 23
- 7
- 8
- 800
- 9
- a
- Capabil
- Despre Noi
- acces
- Conturi
- activ
- actori
- adăugat
- adăugare
- administrativ
- consultativ
- afecta
- afectat
- După
- AI
- permite
- permite
- de asemenea
- printre
- an
- și
- Orice
- aplicatii
- SUNT
- domenii
- AS
- At
- ataca
- atacator
- Încercările
- AUTH
- autentifica
- Autentificare
- Avalanşă
- BE
- fost
- in afara de asta
- Blog
- sufla
- atât
- Bug
- gandaci
- afaceri
- clienții de afaceri
- întreprinderi
- dar
- by
- by-pass
- CAN
- purtător
- CEO
- lanţ
- verifica
- Cloud
- Co-fondator
- COM
- comentariu
- comparabil
- compromis
- compromis
- Confirma
- CONFIRMAT
- Control
- Istoria
- ar putea
- crea
- critic
- clienţii care
- Atac cibernetic
- prejudiciu
- desktop
- detalii
- Dezvoltator
- domenii
- don
- De
- Mai devreme
- eveniment
- aștepta
- a explicat
- Exploata
- exploatare
- exploatând
- extensiv
- departe
- Fișier
- urma
- urmează
- Pentru
- Fundație
- din
- faţă
- Complet
- Oferirea
- Avea
- he
- găzduire
- HTTPS
- vânătoare
- imediat
- implicații
- in
- incident
- răspuns la incident
- Indicatorii
- inițială
- în
- investiga
- problema
- probleme de
- IT
- ESTE
- james
- jpg
- ca
- Listă
- situat
- cautati
- maşină
- discuții
- gestionate
- administrare
- Masa
- masiv
- Mai..
- ar putea
- mike
- moment
- luni
- Monitorizarea
- cele mai multe
- rețele
- Nou
- noi utilizatori
- non-profit
- of
- promoții
- on
- de deschidere
- or
- Altele
- Altele
- al nostru
- afară
- peste
- propriu
- Plasture
- Pivot
- platformă
- Plato
- Informații despre date Platon
- PlatoData
- PoC
- gata
- Popular
- potenţial
- potenţial
- preşedinte
- proteja
- prevăzut
- furnizori
- public
- ajunge
- primit
- recent
- eliberat
- la distanta
- cereri de
- cercetători
- răspuns
- rezultat
- s
- Said
- Scară
- scor
- Al doilea
- securitate
- vulnerabilitatea securității
- vedere
- senzori
- serverul
- Servere
- serviciu
- prestatori de servicii
- configurarea
- Fundația Shadowserver
- să
- semnificativ
- Semne
- asemănător
- situație
- specific
- Sponsorizat
- Încă
- astfel de
- livra
- lanțului de aprovizionare
- a sustine
- sigur
- sisteme
- vizate
- echipă
- tech
- Tehnic
- acea
- lor
- Lor
- temă
- se
- apoi
- Acestea
- ei
- acest
- deşi?
- mii
- amenințare
- actori amenințători
- la
- astăzi
- instrument
- marţi
- neautorizat
- în
- actualizat
- actualizări
- upgrade-ul
- us
- utilizare
- utilizat
- Utilizator
- utilizatorii
- versiune
- Versiunile
- foarte
- de
- Vulnerabilitățile
- vulnerabilitate
- vulnerabil
- de avertizare
- we
- au fost
- care
- OMS
- încă
- zephyrnet