Critical ConnectWise RMM Bug Poised For Exploitation Avalanche

Перевидано Платоном

читають: 0

Critical ConnectWise RMM Bug Poised for Exploitation Avalanche PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Користувачі інструменту керування віддаленим робочим столом ConnectWise ScreenConnect зазнають активної кібератаки після виявлення експлойту перевірки концепції (PoC) для максимально критичної вразливості безпеки на платформі. Ситуація може перерости в масовий компроміс, попереджають дослідники.

Служба технічної підтримки та інші можуть використовувати ScreenConnect для автентифікації на комп’ютері так, ніби вони є користувачем. Таким чином, він пропонує канал для загрозливих суб’єктів, які прагнуть проникнути у важливі кінцеві точки та будь-які інші області корпоративних мереж, до яких вони можуть мати доступ.

Критичний обхід автентифікації ScreenConnect

У консультації в понеділок, ConnectWise розкрила обхід автентифікації отримання оцінки 10 із 10 за шкалою серйозності вразливості CVSS; окрім відкриття передніх дверей до цільових настільних комп’ютерів, це дозволяє зловмисникам дістатися до другої помилки, також оприлюдненої в понеділок, яка є проблемою проходження шляху (CVSS 8.4), яка дозволяє несанкціонований доступ до файлів.

«Ця вразливість дозволяє зловмиснику створити власного адміністратора на сервері ScreenConnect, надаючи йому повний контроль над сервером», — сказав Джеймс Хорсмен, розробник експлойтів Horizon3.ai, у сьогоднішньому блозі, що надає технічні відомості про обхід авторизації і індикатори компромісу (IoC). «Ця вразливість повторює тему інших останніх уразливостей, які дозволяють зловмисникам повторно ініціалізувати програми або створювати початкових користувачів після налаштування».

У вівторок ConnectWise оновив свої рекомендації, щоб підтвердити активне використання проблем, які ще не мають CVE: «Ми отримали оновлення скомпрометованих облікових записів, які наша команда реагування на інциденти змогла дослідити та підтвердити». Він також додав розширений список IoC.

Тим часом Пьотр Кієвський, генеральний директор Shadowserver Foundation, підтвердив, що бачив початкові запити на використання в датчиках honeypot некомерційної організації.

«Перевірте наявність ознак компрометації (наприклад, доданих нових користувачів) і виправте!» він наголосив через список розсилки Shadowserver, додавши, що станом на вівторок 93% екземплярів ScreenConnect все ще були вразливими (близько 3,800 інсталяцій), більшість із них розташовані в США.

Уразливості стосуються ScreenConnect версії 23.9.7 і ранішої версії, а також, зокрема, впливають на саморозміщену або локальну інсталяцію; хмарні клієнти, які розміщують сервери ScreenConnect у доменах «screenconnect.com» або «hostedrmm.com», не впливають.

Очікуйте використання ConnectWise до Snowball

Незважаючи на те, що на даний момент спроби використання невеликі, Майк Уолтерс, президент і співзасновник Action1, сказав у коментарі, надісланому електронною поштою, що компаніям слід очікувати «значних наслідків для безпеки» від помилок ConnectWise.

Волтерс, який також підтвердив використання вразливостей у дикій природі, сказав, що потенційно очікує «тисячі скомпрометованих випадків». Але проблеми також можуть перерости в широкомасштабну атаку на ланцюг поставок, під час якої зловмисники проникають у постачальників керованих послуг безпеки (MSSP), а потім спрямовуються на їхніх бізнес-клієнтів.

Він пояснив: «Масована атака з використанням цих вразливостей може бути схожою на Використання вразливості Kaseya у 2021 році, оскільки ScreenConnect є дуже популярним [інструментом віддаленого керування та моніторингу] RMM серед MSP та MSSP і може призвести до порівнянної шкоди».

Наразі як дослідники Huntress, так і дослідники з команди нападників Horizon3 публічно оприлюднили PoCs щодо помилок, і інші обов’язково підуть за ними.

Щоб захистити себе, адміністратори ConnectWise SmartScreen повинні негайно оновити систему до версії 23.9.8, щоб виправити свої системи, а потім використовувати надані IoC для пошуку ознак експлуатації.