Пользователи инструмента управления удаленными рабочими столами ConnectWise ScreenConnect подвергаются активной кибератаке после того, как обнаружился эксплойт для проверки концепции (PoC) для максимально критической уязвимости безопасности в платформе. Исследователи предупреждают, что ситуация может перерасти в массовый компромисс.
ScreenConnect может использоваться службой технической поддержки и другими лицами для аутентификации на компьютере, как если бы они были пользователем. Таким образом, он предлагает канал для злоумышленников, стремящихся проникнуть в ценные конечные точки и любые другие области корпоративных сетей, к которым у них может быть доступ.
Критический обход аутентификации ScreenConnect
В сообщении в понедельник ConnectWise раскрыл способ обхода аутентификации имеющий оценку 10 из 10 по шкале серьезности уязвимостей CVSS; Помимо открытия входной двери для целевых рабочих столов, это позволяет злоумышленникам добраться до второй ошибки, также раскрытой в понедельник, которая представляет собой проблему обхода пути (CVSS 8.4), которая обеспечивает несанкционированный доступ к файлам.
«Эта уязвимость позволяет злоумышленнику создать собственного пользователя с правами администратора на сервере ScreenConnect, давая ему полный контроль над сервером», — сказал Джеймс Хорсман, разработчик эксплойта Horizon3.ai, в сегодняшнем блоге, в котором говорится: предоставляет технические подробности обхода аутентификации и индикаторы компрометации (IoC). «Эта уязвимость повторяет тему других недавних уязвимостей, которые позволяют злоумышленникам повторно инициализировать приложения или создавать первоначальных пользователей после установки».
Во вторник ConnectWise обновила свои рекомендации, чтобы подтвердить активное использование проблем, для которых еще нет CVE: «Мы получили обновления о скомпрометированных учетных записях, которые наша группа реагирования на инциденты смогла расследовать и подтвердить». Также добавлен обширный список IoC.
Тем временем Петр Киевский, генеральный директор Shadowserver Foundation, подтвердил, что видел первоначальные запросы на эксплуатацию в датчиках-ловушках некоммерческой организации.
«Проверьте наличие признаков компрометации (например, добавление новых пользователей) и исправьте!» подчеркнул он в списке рассылки Shadowserver, добавив, что по состоянию на вторник целых 93% экземпляров ScreenConnect все еще были уязвимы (около 3,800 установок), большинство из которых расположены в США.
Уязвимости затрагивают версии ScreenConnect 23.9.7 и более ранние, в частности, затрагивают самостоятельные или локальные установки; Клиенты облачных служб, размещающие серверы ScreenConnect в доменах «screenconnect.com» или «hostedrmm.com», не затронуты.
Ожидайте использования ConnectWise в Snowball
Хотя на данный момент количество попыток взлома невелико, Майк Уолтерс, президент и соучредитель Action1, заявил в комментариях по электронной почте, что предприятиям следует ожидать «значительных последствий для безопасности» от ошибок ConnectWise.
Уолтерс, который также подтвердил факт использования уязвимостей в реальных условиях, сказал, что потенциально ожидает «тысячи скомпрометированных экземпляров». Но эти проблемы также могут перерасти в широкомасштабную атаку на цепочку поставок, в ходе которой злоумышленники проникнут в поставщиков управляемых услуг безопасности (MSSP), а затем перейдут на своих бизнес-клиентов.
Он пояснил: «Массовая атака, использующая эти уязвимости, может быть похожа на Эксплуатация уязвимости Kaseya в 2021 году, поскольку ScreenConnect является очень популярным [инструментом удаленного управления и мониторинга] RMM среди MSP и MSSP и может привести к сопоставимому ущербу».
На данный момент как исследователи Huntress, так и исследователи из атакующей группы Horizon3 публично опубликовали PoC для выявления ошибок, и другие наверняка последуют их примеру.
Чтобы защитить себя, администраторы ConnectWise SmartScreen должны немедленно обновиться до версии 23.9.8, чтобы исправить свои системы, а затем использовать предоставленные IoC для поиска признаков эксплуатации.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/remote-workforce/critical-connectwise-rmm-bug-poised-exploitation-avalanche
- :имеет
- :является
- :нет
- $UP
- 10
- 23
- 7
- 8
- 800
- 9
- a
- в состоянии
- О нас
- доступ
- Учетные записи
- активный
- актеры
- добавленный
- добавить
- административный
- консультативный
- влиять на
- пострадавших
- После
- AI
- позволять
- позволяет
- причислены
- среди
- an
- и
- любой
- Приложения
- МЫ
- области
- AS
- At
- атаковать
- нападающий
- попытки
- Auth
- проверять подлинность
- Аутентификация
- лавина
- BE
- было
- Кроме
- Блог
- взрывать
- изоферменты печени
- Ошибка
- ошибки
- бизнес
- деловые клиенты
- бизнес
- но
- by
- байпас
- CAN
- проведение
- Генеральный директор
- цепь
- проверка
- облако
- Соучредитель
- COM
- комментарий
- сравнимый
- скомпрометированы
- Ослабленный
- подтвердить
- ПОДТВЕРЖДЕНО
- контроль
- Корпоративное
- может
- Создайте
- критической
- Клиенты
- Кибератака
- повреждение
- компьютера
- подробнее
- Застройщик
- доменов
- Дон
- Двери
- Ранее
- События
- ожидать
- объяснены
- Эксплуатировать
- эксплуатация
- эксплуатации
- обширный
- далеко
- Файл
- следовать
- следующим образом
- Что касается
- Год основания
- от
- передний
- полный
- Отдаете
- Есть
- he
- хостинг
- HTTPS
- Охота
- немедленно
- последствия
- in
- инцидент
- реакция на инцидент
- индикаторы
- начальный
- в
- исследовать
- вопрос
- вопросы
- IT
- ЕГО
- Джеймс
- JPG
- такое как
- Список
- расположенный
- искать
- машина
- рассылки
- управляемого
- управление
- Масса
- массивный
- Май..
- может быть
- микрофон
- момент
- понедельник
- Мониторинг
- самых
- сетей
- Новые
- новые пользователи
- некоммерческий
- of
- Предложения
- on
- открытие
- or
- Другое
- Другое
- наши
- внешний
- за
- собственный
- Патчи
- Стержень
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- PoC
- сбалансирован
- Популярное
- потенциал
- потенциально
- президент
- для защиты
- при условии
- поставщики
- публично
- достигать
- получила
- последний
- выпустил
- удаленные
- Запросы
- исследователи
- ответ
- результат
- s
- Сказал
- Шкала
- Гол
- Во-вторых
- безопасность
- уязвимость безопасности
- видя
- датчик
- сервер
- Серверы
- обслуживание
- поставщики услуг
- установка
- Фонд Темного Сервера
- должен
- значительный
- Признаки
- аналогичный
- ситуация
- конкретно
- Спонсоров
- По-прежнему
- такие
- поставка
- цепочками поставок
- поддержка
- Убедитесь
- системы
- целевое
- команда
- технологии
- Технический
- который
- Ассоциация
- их
- Их
- тема
- сами
- тогда
- Эти
- они
- этой
- хоть?
- тысячи
- угроза
- актеры угрозы
- в
- сегодня
- инструментом
- вторник
- неразрешенный
- под
- обновление
- Updates
- модернизация
- us
- использование
- используемый
- Информация о пользователе
- пользователей
- версия
- версии
- очень
- с помощью
- Уязвимости
- уязвимость
- Уязвимый
- предупреждение
- we
- были
- который
- КТО
- еще
- зефирнет