Користувачі інструменту керування віддаленим робочим столом ConnectWise ScreenConnect зазнають активної кібератаки після виявлення експлойту перевірки концепції (PoC) для максимально критичної вразливості безпеки на платформі. Ситуація може перерости в масовий компроміс, попереджають дослідники.
Служба технічної підтримки та інші можуть використовувати ScreenConnect для автентифікації на комп’ютері так, ніби вони є користувачем. Таким чином, він пропонує канал для загрозливих суб’єктів, які прагнуть проникнути у важливі кінцеві точки та будь-які інші області корпоративних мереж, до яких вони можуть мати доступ.
Критичний обхід автентифікації ScreenConnect
У консультації в понеділок, ConnectWise розкрила обхід автентифікації отримання оцінки 10 із 10 за шкалою серйозності вразливості CVSS; окрім відкриття передніх дверей до цільових настільних комп’ютерів, це дозволяє зловмисникам дістатися до другої помилки, також оприлюдненої в понеділок, яка є проблемою проходження шляху (CVSS 8.4), яка дозволяє несанкціонований доступ до файлів.
«Ця вразливість дозволяє зловмиснику створити власного адміністратора на сервері ScreenConnect, надаючи йому повний контроль над сервером», — сказав Джеймс Хорсмен, розробник експлойтів Horizon3.ai, у сьогоднішньому блозі, що надає технічні відомості про обхід авторизації і індикатори компромісу (IoC). «Ця вразливість повторює тему інших останніх уразливостей, які дозволяють зловмисникам повторно ініціалізувати програми або створювати початкових користувачів після налаштування».
У вівторок ConnectWise оновив свої рекомендації, щоб підтвердити активне використання проблем, які ще не мають CVE: «Ми отримали оновлення скомпрометованих облікових записів, які наша команда реагування на інциденти змогла дослідити та підтвердити». Він також додав розширений список IoC.
Тим часом Пьотр Кієвський, генеральний директор Shadowserver Foundation, підтвердив, що бачив початкові запити на використання в датчиках honeypot некомерційної організації.
«Перевірте наявність ознак компрометації (наприклад, доданих нових користувачів) і виправте!» він наголосив через список розсилки Shadowserver, додавши, що станом на вівторок 93% екземплярів ScreenConnect все ще були вразливими (близько 3,800 інсталяцій), більшість із них розташовані в США.
Уразливості стосуються ScreenConnect версії 23.9.7 і ранішої версії, а також, зокрема, впливають на саморозміщену або локальну інсталяцію; хмарні клієнти, які розміщують сервери ScreenConnect у доменах «screenconnect.com» або «hostedrmm.com», не впливають.
Очікуйте використання ConnectWise до Snowball
Незважаючи на те, що на даний момент спроби використання невеликі, Майк Уолтерс, президент і співзасновник Action1, сказав у коментарі, надісланому електронною поштою, що компаніям слід очікувати «значних наслідків для безпеки» від помилок ConnectWise.
Волтерс, який також підтвердив використання вразливостей у дикій природі, сказав, що потенційно очікує «тисячі скомпрометованих випадків». Але проблеми також можуть перерости в широкомасштабну атаку на ланцюг поставок, під час якої зловмисники проникають у постачальників керованих послуг безпеки (MSSP), а потім спрямовуються на їхніх бізнес-клієнтів.
Він пояснив: «Масована атака з використанням цих вразливостей може бути схожою на Використання вразливості Kaseya у 2021 році, оскільки ScreenConnect є дуже популярним [інструментом віддаленого керування та моніторингу] RMM серед MSP та MSSP і може призвести до порівнянної шкоди».
Наразі як дослідники Huntress, так і дослідники з команди нападників Horizon3 публічно оприлюднили PoCs щодо помилок, і інші обов’язково підуть за ними.
Щоб захистити себе, адміністратори ConnectWise SmartScreen повинні негайно оновити систему до версії 23.9.8, щоб виправити свої системи, а потім використовувати надані IoC для пошуку ознак експлуатації.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/remote-workforce/critical-connectwise-rmm-bug-poised-exploitation-avalanche
- : має
- :є
- : ні
- $UP
- 10
- 23
- 7
- 8
- 800
- 9
- a
- Здатний
- МЕНЮ
- доступ
- Рахунки
- активний
- актори
- доданий
- додати
- адміністративний
- консультативний
- впливати
- постраждалих
- після
- AI
- дозволяти
- дозволяє
- Також
- серед
- an
- та
- будь-який
- застосування
- ЕСТЬ
- області
- AS
- At
- атака
- нападаючий
- Спроби
- Auth
- перевіряти справжність
- Authentication
- Лавина
- BE
- було
- крім
- Блог
- підривати
- обидва
- Помилка
- помилки
- бізнес
- бізнес-клієнти
- підприємства
- але
- by
- обходити
- CAN
- проведення
- Генеральний директор
- ланцюг
- перевірка
- хмара
- Співзасновник
- COM
- коментар
- порівнянний
- компроміс
- Компрометація
- підтвердити
- Підтверджено
- контроль
- Корпоративний
- може
- створювати
- критичний
- Клієнти
- Кібератака
- пошкодження
- робочий стіл
- деталі
- Розробник
- домени
- Дон
- Двері
- Раніше
- Event
- очікувати
- пояснені
- Експлуатувати
- експлуатація
- експлуатація
- обширний
- далеко
- філе
- стежити
- слідує
- для
- фонд
- від
- перед
- Повний
- дає
- Мати
- he
- хостинг
- HTTPS
- полювання
- негайно
- наслідки
- in
- інцидент
- реагування на інциденти
- індикатори
- початковий
- в
- дослідити
- питання
- питання
- IT
- ЙОГО
- Джеймс
- JPG
- як
- список
- розташований
- шукати
- машина
- розсилки
- вдалося
- управління
- Маса
- масивний
- Може..
- може бути
- мікрофон
- момент
- понеділок
- моніторинг
- найбільш
- мереж
- Нові
- нових користувачів
- Некомерційний
- of
- Пропозиції
- on
- відкриття
- or
- Інше
- інші
- наші
- з
- над
- власний
- пластир
- Стрижень
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- PoC
- готовий
- популярний
- потенціал
- потенційно
- президент
- захист
- за умови
- провайдери
- публічно
- досягати
- отримано
- останній
- випущений
- віддалений
- запитів
- Дослідники
- відповідь
- результат
- s
- Зазначений
- шкала
- рахунок
- другий
- безпеку
- уразливості безпеки
- бачачи
- датчиків
- сервер
- Сервери
- обслуговування
- постачальники послуг
- установка
- Фонд Shadowserver
- Повинен
- значний
- Ознаки
- аналогічний
- ситуація
- конкретно
- Рекламні
- Як і раніше
- такі
- поставка
- ланцюжка поставок
- підтримка
- Переконайтеся
- Systems
- цільове
- команда
- технології
- технічний
- Що
- Команда
- їх
- Їх
- тема
- самі
- потім
- Ці
- вони
- це
- хоча?
- тисячі
- загроза
- актори загроз
- до
- сьогодні
- інструмент
- Вівторок
- несанкціонований
- при
- оновлений
- Updates
- модернізація
- us
- використання
- використовуваний
- користувач
- користувачі
- версія
- версії
- дуже
- через
- Уразливості
- вразливість
- Вразливий
- попередження
- we
- були
- який
- ВООЗ
- ще
- зефірнет