İlk kullanım raporlarının bir süreliğine yayınlanmaya başlamasından yalnızca birkaç gün sonra ConnectWise ScreenConnect'teki kritik güvenlik açığı Uzaktan masaüstü yönetim hizmetiyle ilgili olarak araştırmacılar, çok büyük boyutlarda bir tedarik zinciri saldırısının patlamaya hazır olabileceği konusunda uyarıyorlar.
Huntress CEO'su Kyle Hanslovan, e-postayla gönderdiği yorumda, hatalar istismar edildikten sonra bilgisayar korsanlarının "yüzbinlerce uç noktayı kontrol eden on binden fazla sunucuya" uzaktan erişim elde edeceğini belirterek, "2024'ün en büyük siber güvenlik olayına" hazırlanma zamanının geldiğini belirtti. .”
ScreenConnect, teknik destek ve diğerleri tarafından bir makinede kullanıcıymış gibi kimlik doğrulaması yapmak için kullanılabilir. Bu, tehdit aktörlerinin yüksek değerli uç noktalara sızmasına ve ayrıcalıklarından yararlanmasına olanak tanıyabilir.
Daha da kötüsü, uygulama, yönetilen hizmet sağlayıcılar (MSP) tarafından müşteri ortamlarına bağlanmak için yaygın olarak kullanılıyor; bu nedenle, MSP'leri aşağı akış erişimi için kullanmak isteyen tehdit aktörlerine de kapı açabilir. Kaseya saldırılarının tsunamisi işletmelerin 2021 yılında karşılaştığı durum.
ConnectWise Hataları CVE'leri Alma
ConnectWise, Pazartesi günü hiçbir CVE olmadan hataları açıkladı ve ardından kavram kanıtlama (PoC) istismarları hızla ortaya çıktı. Salı günü ConnectWise, hataların aktif siber saldırı altında olduğu konusunda uyardı. Çarşamba günü, çok sayıda araştırmacı siber faaliyetlerin çığ gibi büyüdüğünü bildiriyordu.
Güvenlik açıkları artık izleme CVE'lerine sahip. Bunlardan biri, yönetim arayüzüne ağ erişimi olan bir saldırganın etkilenen cihazlarda yeni, yönetici düzeyinde bir hesap oluşturmasına olanak tanıyan maksimum önem derecesine sahip kimlik doğrulama bypassıdır (CVE-2024-1709, CVSS 10). Yetkisiz dosya erişimine izin veren ikinci bir hatayla, yol geçiş sorunuyla (CVE-2024-1708, CVSS 8.4) eşleştirilebilir.
İlk Erişim Aracıları Faaliyetlerini Hızlandırıyor
Shadowserver Vakfı'na göre, telemetri kapsamında İnternet'e maruz kalan platformun en az 8,200 savunmasız örneği var ve bunların çoğunluğu ABD'de bulunuyor.
"CVE-2024-1709 vahşi doğada geniş çapta istismar ediliyor: Bugüne kadar sensörlerimiz tarafından 643 IP'nin saldırıya uğradığı görüldü." bir LinkedIn gönderisinde söyledi.
Huntress araştırmacıları, ABD istihbarat topluluğundan bir kaynağın kendilerine şunu söylediğini söyledi: ilk erişim aracıları (IAB'ler) Bu erişimi fidye yazılımı gruplarına satmak amacıyla çeşitli uç noktalarda mağaza kurmak için böceklerin üzerine atılmaya başladılar.
Gerçekten de Huntress, siber saldırganların güvenlik açıklarını kullanarak, muhtemelen 911 sistemlerine bağlı uç noktalar da dahil olmak üzere yerel yönetime fidye yazılımı dağıttığını gözlemledi.
Hanslovan, "Bu yazılımın yaygınlığı ve bu güvenlik açığının sağladığı erişim, herkese açık bir fidye yazılımının eşiğinde olduğumuzu gösteriyor" dedi. “Hastaneler, kritik altyapı ve devlet kurumlarının risk altında olduğu kanıtlandı.”
Şöyle ekledi: "Ve veri şifreleyicilerini zorlamaya başladıklarında, önleyici güvenlik yazılımlarının %90'ının bunu yakalayamayacağına bahse girerim çünkü bunlar güvenilir bir kaynaktan geliyor."
Bu arada Bitdefender araştırmacıları da etkinliği doğruladı ve tehdit aktörlerinin ele geçirilen makinelere ek kötü amaçlı yazılım yükleme kapasitesine sahip bir indiriciyi dağıtmak için kötü amaçlı uzantılar kullandığını belirtti.
"ScreenConnect'in uzantılar klasöründen yararlanan birkaç olası saldırı örneğini fark ettik, [güvenlik araçları ise] certutil.exe yerleşik aracını temel alan bir indiricinin varlığını öne sürüyor." ConnectWise siber etkinliğine ilişkin Bitdefender blog yazısı. "Tehdit aktörleri bu aracı genellikle kurbanın sistemine ek kötü amaçlı yüklerin indirilmesini başlatmak için kullanıyor."
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), hataları kendi listesine ekledi Bilinen İstismar Edilen Güvenlik Açıkları kataloğu.
CVE-2024-1709, CVE-2024-1708 için hafifletme
23.9.7'ye kadar olan ve XNUMX dahil olmak üzere şirket içi sürümler savunmasızdır; bu nedenle en iyi koruma, ConnectWise ScreenConnect'in dağıtıldığı tüm sistemleri tanımlamak ve XNUMX dahil olmak üzere yayınlanan yamaları uygulamaktır. ScreenConnect sürüm 23.9.8.
Kuruluşlar ayrıca ConnectWise'ın danışma belgesinde listelenen güvenlik ihlali göstergelerine (IoC'ler) de dikkat etmelidir. Bitdefender araştırmacıları “C:Program Files (x86)ScreenConnectApp_Extensions” klasörünün izlenmesini savunuyor; Bitdefender, doğrudan o klasörün kökünde saklanan şüpheli .ashx ve .aspx dosyalarının yetkisiz kod yürütülmesine işaret edebileceğini işaretledi.
Ayrıca ufukta iyi haberler de olabilir: "ConnectWise, yama uygulanmamış sunucuların lisanslarını iptal ettiklerini belirtti ve bizim açımızdan bunun nasıl çalıştığı belirsiz olsa da, bu güvenlik açığının, savunmasız bir sürümü çalıştıran veya bu sürümü çalıştıran herkes için hala büyük bir endişe kaynağı olduğu görülüyor. hızlı bir şekilde yama yapılmıyor," diye ekledi Bitdefender araştırmacıları. "Bu, ConnectWise'ın eylemlerinin işe yaramadığı anlamına gelmiyor; şu anda bunun nasıl sonuçlandığından emin değiliz."
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
- :vardır
- :dır-dir
- :olumsuzluk
- :Neresi
- $UP
- 10
- 200
- 2021
- 2024
- 23
- 7
- 8
- 9
- a
- erişim
- Göre
- Hesap
- eylemler
- aktif
- etkinlik
- aktörler
- katma
- Ek
- danışma
- savunucu
- etkilenmiş
- sağlanan
- Sonra
- ajans
- Türkiye
- izin vermek
- veriyor
- Ayrıca
- an
- ve
- ve altyapı
- herhangi
- kimse
- çıktı
- belirir
- Uygulama
- Uygulanması
- ARE
- AS
- At
- saldırı
- saldırgan
- Saldırma
- saldırılar
- kimlik doğrulaması
- Doğrulama
- merkezli
- BE
- Çünkü
- İYİ
- Bahis
- Biggest
- Blog
- broker
- Böcek
- böcek
- yerleşik
- işletmeler
- by
- baypas
- CAN
- yetenekli
- Yakalamak
- ceo
- zincir
- kod
- gelecek
- tefsir
- çoğunlukla
- topluluk
- uzlaşma
- Uzlaşılmış
- İlgilendirmek
- Sosyal medya
- kontrol
- olabilir
- yaratmak
- kritik
- Kritik altyapı
- doruk
- müşteri
- Siber
- Siber saldırı
- Siber güvenlik
- veri
- Tarih
- Günler
- sağlıyor
- dağıtmak
- konuşlandırılmış
- masaüstü
- Cihaz
- DID
- direkt olarak
- Kapı
- indir
- son
- ortamları
- infaz
- sömürmek
- istismar
- sömürülen
- patlatır
- maruz
- uzantıları
- yüzlü
- fileto
- dosyalar
- bayraklı
- İçin
- vakıf
- itibaren
- Kazanç
- almak
- Tercih Etmenizin
- Hükümet
- Grubun
- hackerlar
- Var
- ufuk
- Hastanelerinden olan İstanbul Cerrahi Hastanesi'nde
- Ne kadar
- HTTPS
- Yüzlerce
- belirlenmesi
- in
- olay
- Dahil olmak üzere
- gerçekten
- belirtmek
- göstergeler
- Altyapı
- ilk
- başlatmak
- içeride
- yükleme
- örnek
- kurumları
- İstihbarat
- niyet
- arayüzey
- Internet
- içine
- konu
- Veriliş
- IT
- ONUN
- jpg
- tutmak
- kyle
- en az
- kaldıraç
- Li
- lisansları
- Muhtemelen
- bağlantılı
- Listelenmiş
- yerel
- Yerel yönetim
- bulunan
- bakıyor
- makine
- Makineler
- büyük
- çoğunluk
- kötü niyetli
- kötü amaçlı yazılım
- yönetilen
- yönetim
- Kitle
- Mayıs..
- Bu arada
- hafifletme
- Pazartesi
- izleme
- çoklu
- ağ
- yeni
- haber
- yok hayır
- belirterek
- şimdi
- of
- on
- bir Zamanlar
- ONE
- üstüne
- açık
- or
- Diğer
- bizim
- dışarı
- eşleştirilmiş
- Patch
- Yamalar
- platform
- Platon
- Plato Veri Zekası
- PlatoVeri
- oynandı
- PoC
- hazırlanıyor
- Çivi
- potansiyel
- Hazırlamak
- varlık
- yaygınlık
- ayrıcalıklar
- Programı
- koruma
- kanıtlanmış
- sağlayıcılar
- itme
- hızla
- Rampa
- fidye
- RE
- uzak
- uzaktan erişim
- Raporlama
- Raporlar
- Araştırmacılar
- Risk
- rolling
- kök
- koşu
- s
- Adı geçen
- söylemek
- İkinci
- güvenlik
- güvenlik açığı
- görüldü
- Satışa
- sensörler
- Sunucular
- hizmet
- Servis sağlayıcıları
- set
- birkaç
- Shadowserver Vakfı
- Mağaza
- meli
- sinyalleri
- benzer
- So
- Yazılım
- Kaynak
- Sponsor
- başlama
- başladı
- Eyalet
- belirtilen
- Yine
- saklı
- böyle
- Önerdi
- arz
- tedarik zinciri
- destek
- şüpheli
- hızla
- sistem
- Sistemler
- teknoloji
- on
- o
- The
- ve bazı Asya
- Onları
- Orada.
- onlar
- Re-Tweet
- Bu
- gerçi?
- bin
- Binlerce
- tehdit
- tehdit aktörleri
- zaman
- için
- söyledi
- araç
- Takip
- Güvenilir
- Salı
- yetkisiz
- altında
- yukarı
- us
- kullanım
- Kullanılmış
- kullanıcı
- kullanma
- çeşitli
- Ve
- versiyon
- sürümler
- Kurban
- güvenlik açıkları
- güvenlik açığı
- Savunmasız
- uyardı
- uyarı
- we
- Çarşamba
- vardı
- hangi
- süre
- DSÖ
- geniş ölçüde
- Vahşi
- irade
- istekli
- ile
- içinde
- çalışma
- çalışır
- kötü
- zefirnet