Критическая ошибка ConnectWise RMM готова к лавинной эксплуатации

Пользователи инструмента управления удаленными рабочими столами ConnectWise ScreenConnect подвергаются активной кибератаке после того, как обнаружился эксплойт для проверки концепции (PoC) для максимально критической уязвимости безопасности в платформе. Исследователи предупреждают, что ситуация может перерасти в массовый компромисс.

ScreenConnect может использоваться службой технической поддержки и другими лицами для аутентификации на компьютере, как если бы они были пользователем. Таким образом, он предлагает канал для злоумышленников, стремящихся проникнуть в ценные конечные точки и любые другие области корпоративных сетей, к которым у них может быть доступ.

Критический обход аутентификации ScreenConnect

В сообщении в понедельник ConnectWise раскрыл способ обхода аутентификации имеющий оценку 10 из 10 по шкале серьезности уязвимостей CVSS; Помимо открытия входной двери для целевых рабочих столов, это позволяет злоумышленникам добраться до второй ошибки, также раскрытой в понедельник, которая представляет собой проблему обхода пути (CVSS 8.4), которая обеспечивает несанкционированный доступ к файлам.

«Эта уязвимость позволяет злоумышленнику создать собственного пользователя с правами администратора на сервере ScreenConnect, давая ему полный контроль над сервером», — сказал Джеймс Хорсман, разработчик эксплойта Horizon3.ai, в сегодняшнем блоге, в котором говорится: предоставляет технические подробности обхода аутентификации и индикаторы компрометации (IoC). «Эта уязвимость повторяет тему других недавних уязвимостей, которые позволяют злоумышленникам повторно инициализировать приложения или создавать первоначальных пользователей после установки».

Во вторник ConnectWise обновила свои рекомендации, чтобы подтвердить активное использование проблем, для которых еще нет CVE: «Мы получили обновления о скомпрометированных учетных записях, которые наша группа реагирования на инциденты смогла расследовать и подтвердить». Также добавлен обширный список IoC.

Тем временем Петр Киевский, генеральный директор Shadowserver Foundation, подтвердил, что видел первоначальные запросы на эксплуатацию в датчиках-ловушках некоммерческой организации.

«Проверьте наличие признаков компрометации (например, добавление новых пользователей) и исправьте!» подчеркнул он в списке рассылки Shadowserver, добавив, что по состоянию на вторник целых 93% экземпляров ScreenConnect все еще были уязвимы (около 3,800 установок), большинство из которых расположены в США.

Уязвимости затрагивают версии ScreenConnect 23.9.7 и более ранние, в частности, затрагивают самостоятельные или локальные установки; Клиенты облачных служб, размещающие серверы ScreenConnect в доменах «screenconnect.com» или «hostedrmm.com», не затронуты.

Ожидайте использования ConnectWise в Snowball

Хотя на данный момент количество попыток взлома невелико, Майк Уолтерс, президент и соучредитель Action1, заявил в комментариях по электронной почте, что предприятиям следует ожидать «значительных последствий для безопасности» от ошибок ConnectWise.

Уолтерс, который также подтвердил факт использования уязвимостей в реальных условиях, сказал, что потенциально ожидает «тысячи скомпрометированных экземпляров». Но эти проблемы также могут перерасти в широкомасштабную атаку на цепочку поставок, в ходе которой злоумышленники проникнут в поставщиков управляемых услуг безопасности (MSSP), а затем перейдут на своих бизнес-клиентов.

Он пояснил: «Массовая атака, использующая эти уязвимости, может быть похожа на Эксплуатация уязвимости Kaseya в 2021 году, поскольку ScreenConnect является очень популярным [инструментом удаленного управления и мониторинга] RMM среди MSP и MSSP и может привести к сопоставимому ущербу».

На данный момент как исследователи Huntress, так и исследователи из атакующей группы Horizon3 публично опубликовали PoC для выявления ошибок, и другие наверняка последуют их примеру.

Чтобы защитить себя, администраторы ConnectWise SmartScreen должны немедленно обновиться до версии 23.9.8, чтобы исправить свои системы, а затем использовать предоставленные IoC для поиска признаков эксплуатации.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/remote-workforce/critical-connectwise-rmm-bug-poised-exploitation-avalanche