Le nekaj dni po tem, ko so začela prihajati prva poročila o izkoriščanju za a kritična varnostna ranljivost v ConnectWise ScreenConnect storitev upravljanja oddaljenega namizja, raziskovalci opozarjajo, da bi lahko izbruhnil napad na dobavno verigo prevelikih razsežnosti.
Ko bodo hrošči izkoriščeni, bodo hekerji pridobili oddaljeni dostop do "več kot deset tisoč strežnikov, ki nadzorujejo več sto tisoč končnih točk," je v komentarju po e-pošti dejal izvršni direktor Huntressa Kyle Hanslovan in menil, da je čas, da se pripravimo na "največji incident kibernetske varnosti leta 2024". .”
ScreenConnect lahko uporabljajo tehnična podpora in drugi za preverjanje pristnosti računalnika, kot da bi bili uporabnik. Kot taka bi lahko akterjem groženj omogočila infiltracijo v končne točke visoke vrednosti in izkoriščanje njihovih privilegijev.
Še huje, aplikacijo na veliko uporabljajo ponudniki upravljanih storitev (MSP) za povezovanje z okolji strank, tako da lahko odpre vrata tudi akterjem groženj, ki želijo te MSP uporabiti za nadaljnji dostop, podobno kot cunami napadov Kaseya s katerimi so se leta 2021 soočila podjetja.
Napake ConnectWise Pridobite CVE
ConnectWise je hrošče razkril v ponedeljek brez CVE-jev, nakar so se hitro pojavili izkoriščanja dokazov o konceptu (PoC). V torek je ConnectWise opozoril, da so hrošči pod aktivnim kibernetskim napadom. Do srede je več raziskovalcev poročalo o snežni kibernetski dejavnosti.
Ranljivosti imajo zdaj CVE za sledenje. Eden od njih je obvod avtentikacije največje resnosti (CVE-2024-1709, CVSS 10), ki napadalcu z omrežnim dostopom do upravljalnega vmesnika omogoča ustvarjanje novega računa na ravni skrbnika na prizadetih napravah. Lahko se poveže z drugo napako, težavo s prehodom poti (CVE-2024-1708, CVSS 8.4), ki omogoča nepooblaščen dostop do datoteke.
Posredniki začetnega dostopa povečajo aktivnost
Po podatkih Shadowserver Foundation je najmanj 8,200 ranljivih primerkov platforme izpostavljenih internetu znotraj njene telemetrije, večina pa jih je v ZDA.
"CVE-2024-1709 se pogosto izkorišča v divjini: naši senzorji so do danes opazili napade na 643 IP-jev," je je dejal v objavi na LinkedInu.
Raziskovalci Huntress so povedali, da jim je to povedal vir v ameriški obveščevalni skupnosti posredniki za začetni dostop (IAB) začeli napadati hrošče, da bi vzpostavili trgovino znotraj različnih končnih točk, z namenom, da bi ta dostop prodali skupinam izsiljevalske programske opreme.
In res, na enem primeru je Huntress opazila kibernetske napadalce, ki uporabljajo varnostne ranljivosti za namestitev izsiljevalske programske opreme lokalni vladi, vključno s končnimi točkami, ki so verjetno povezane s sistemi 911.
»Samo razširjenost te programske opreme in dostop, ki ga omogoča ta ranljivost, nakazujeta, da smo na pragu izsiljevalske programske opreme, ki je brezplačna za vse,« je dejal Hanslovan. "Bolnišnice, kritična infrastruktura in državne ustanove so dokazano ogrožene."
Dodal je: "In ko bodo začeli spodbujati svoje šifrirnike podatkov, bi bil pripravljen staviti, da jih 90 % preventivne varnostne programske opreme ne bo ujelo, ker prihaja iz zaupanja vrednega vira."
Raziskovalci Bitdefenderja so medtem potrdili dejavnost in ugotovili, da akterji groženj uporabljajo zlonamerne razširitve za namestitev prenosnika, ki lahko namesti dodatno zlonamerno programsko opremo na ogrožene stroje.
"Opazili smo več primerov morebitnih napadov, ki izkoriščajo mapo razširitev ScreenConnect, [medtem ko varnostna orodja] nakazujejo prisotnost prenosnika, ki temelji na vgrajenem orodju certutil.exe," pravi Objava v spletnem dnevniku Bitdefender o kibernetski dejavnosti ConnectWise. "Akterji groženj običajno uporabljajo to orodje … za začetek prenosa dodatnih zlonamernih koristnih vsebin v sistem žrtve."
Agencija ZDA za kibernetsko varnost in varnost infrastrukture (CISA) je dodala hrošče v svoj Katalog znanih izkoriščanih ranljivosti.
Ublažitev za CVE-2024-1709, CVE-2024-1708
Lokalne različice do vključno 23.9.7 so ranljive – zato je najboljša zaščita prepoznavanje vseh sistemov, kjer je nameščen ConnectWise ScreenConnect, in uporaba popravkov, izdanih z ScreenConnect različica 23.9.8.
Organizacije bi morale paziti tudi na indikatorje ogroženosti (IoC), ki jih ConnectWise navaja v svojem svetovanju. Bitdefenderjevi raziskovalci zagovarjajo spremljanje mape »C:Program Files (x86)ScreenConnectApp_Extensions«; Bitdefender je označil, da lahko vse sumljive datoteke .ashx in .aspx, shranjene neposredno v korenu te mape, kažejo na nepooblaščeno izvajanje kode.
Na obzorju so lahko tudi dobre novice: »ConnectWise je izjavil, da je preklical licence za nepopravljene strežnike, in čeprav nam ni jasno, kako to deluje, se zdi, da je ta ranljivost še vedno velika skrb za vsakogar, ki uporablja ranljivo različico ali kdo jo je. ne popravi hitro,« so dodali Bitdefenderjevi raziskovalci. "To ne pomeni, da dejanja ConnectWise ne delujejo, trenutno nismo prepričani, kako se je to odvilo."
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
- :ima
- : je
- :ne
- :kje
- $GOR
- 10
- 200
- 2021
- 2024
- 23
- 7
- 8
- 9
- a
- dostop
- Po
- Račun
- dejavnosti
- aktivna
- dejavnost
- akterji
- dodano
- Dodatne
- svetovanje
- zagovornik
- vplivajo
- privoščiti
- po
- agencija
- vsi
- omogočajo
- omogoča
- Prav tako
- an
- in
- in infrastrukturo
- kaj
- kdo
- pojavil
- se prikaže
- uporaba
- Uporaba
- SE
- AS
- At
- napad
- Napadalec
- Napadanje
- Napadi
- preverjanje pristnosti
- Preverjanje pristnosti
- temeljijo
- BE
- ker
- BEST
- Stavim
- največji
- Blog
- posredniki
- Bug
- hrošči
- vgrajeno
- podjetja
- by
- bypass
- CAN
- lahko
- wrestling
- ceo
- verige
- Koda
- prihajajo
- Komentar
- pogosto
- skupnost
- Kompromis
- Ogroženo
- Skrb
- Connect
- nadzor
- bi
- ustvarjajo
- kritično
- Kritična infrastruktura
- Kusp
- stranka
- cyber
- Kibernetski napad
- Cybersecurity
- datum
- Datum
- Dnevi
- daje
- razporedi
- razporejeni
- desktop
- naprave
- DID
- neposredno
- By
- prenesi
- konec
- okolja
- izvedba
- Izkoristite
- izkoriščanje
- Exploited
- izkorišča
- izpostavljena
- razširitve
- soočen
- file
- datoteke
- označeno
- za
- Fundacija
- iz
- Gain
- dobili
- dobro
- vlada
- Skupine
- hekerji
- Imajo
- obzorje
- bolnišnice
- Kako
- HTTPS
- Stotine
- identifikacijo
- in
- nesreča
- Vključno
- prav zares
- Navedite
- kazalniki
- Infrastruktura
- začetna
- sproži
- v notranjosti
- Namestitev
- primer
- Institucije
- Intelligence
- namen
- vmesnik
- Internet
- v
- vprašanje
- Izdala
- IT
- ITS
- jpg
- Imejte
- Kyle
- vsaj
- vzvod
- Li
- Licence
- Verjeten
- povezane
- Navedeno
- lokalna
- Lokalna vlada
- nahaja
- si
- stroj
- Stroji
- velika
- Večina
- zlonamerno
- zlonamerna programska oprema
- upravlja
- upravljanje
- Masa
- Maj ..
- Medtem
- ublažitev
- Ponedeljek
- spremljanje
- več
- mreža
- Novo
- novice
- št
- Opažam
- zdaj
- of
- on
- enkrat
- ONE
- na
- odprite
- or
- drugi
- naši
- ven
- seznanjeni
- Patch
- Obliži
- platforma
- platon
- Platonova podatkovna inteligenca
- PlatoData
- igral
- PoC
- pripravljen
- Prispevek
- potencial
- Pripravimo
- Prisotnost
- razširjenost
- privilegiji
- Program
- zaščita
- dokazano
- ponudniki
- Potiskanje
- hitro
- Ramp
- izsiljevalska
- RE
- daljinsko
- Remote Access
- Poročanje
- Poročila
- raziskovalci
- Tveganje
- Valjanje
- koren
- tek
- s
- Je dejal
- pravijo,
- drugi
- varnost
- varnostna ranljivost
- videl
- Prodaja
- senzorji
- Strežniki
- Storitev
- ponudnikov storitev
- nastavite
- več
- Fundacija senc
- Trgovina
- shouldnt
- signali
- Podoben
- So
- Software
- vir
- Sponzorirane
- Začetek
- začel
- Država
- navedla
- Še vedno
- shranjeni
- taka
- Predlaga
- dobavi
- dobavne verige
- podpora
- sumljiv
- hitro
- sistem
- sistemi
- tech
- deset
- da
- O
- njihove
- Njih
- Tukaj.
- jih
- ta
- tisti,
- čeprav?
- tisoč
- tisoče
- Grožnja
- akterji groženj
- čas
- do
- Rekel
- orodje
- Sledenje
- zaupa
- Torek
- nepooblaščeno
- pod
- navzgor
- us
- uporaba
- Rabljeni
- uporabnik
- uporabo
- različnih
- Ve
- različica
- različice
- Žrtva
- Ranljivosti
- ranljivost
- Ranljivi
- Opozoril
- opozorilo
- we
- Sreda
- so bili
- ki
- medtem
- WHO
- pogosto
- Wild
- bo
- pripravljeni
- z
- v
- deluje
- deluje
- slabše
- zefirnet