Chỉ vài ngày sau khi các báo cáo khai thác ban đầu bắt đầu được đưa ra lỗ hổng bảo mật nghiêm trọng trong ConnectWise ScreenConnect dịch vụ quản lý máy tính để bàn từ xa, các nhà nghiên cứu đang cảnh báo rằng một cuộc tấn công chuỗi cung ứng với quy mô lớn có thể sắp nổ ra.
Sau khi khai thác được các lỗi, tin tặc sẽ có quyền truy cập từ xa vào “trên 2024 nghìn máy chủ kiểm soát hàng trăm nghìn điểm cuối”, Giám đốc điều hành Huntress, Kyle Hanslovan, cho biết trong bài bình luận qua email, đồng thời cho rằng đã đến lúc chuẩn bị cho “sự cố an ninh mạng lớn nhất năm XNUMX”. .”
ScreenConnect có thể được bộ phận hỗ trợ kỹ thuật và những người khác sử dụng để xác thực máy như thể họ là người dùng. Do đó, nó có thể cho phép các tác nhân đe dọa xâm nhập vào các điểm cuối có giá trị cao và khai thác đặc quyền của chúng.
Tệ hơn nữa, ứng dụng này còn được các nhà cung cấp dịch vụ được quản lý (MSP) sử dụng rộng rãi để kết nối với môi trường của khách hàng, do đó, nó cũng có thể mở ra cơ hội cho các tác nhân đe dọa muốn sử dụng các MSP đó để truy cập xuôi dòng, tương tự như cơn sóng thần tấn công Kaseya mà các doanh nghiệp phải đối mặt vào năm 2021.
Lỗi ConnectWise Nhận CVE
ConnectWise đã tiết lộ các lỗi vào thứ Hai mà không có CVE, sau đó các hoạt động khai thác bằng chứng khái niệm (PoC) nhanh chóng xuất hiện. Vào thứ Ba, ConnectWise đã cảnh báo rằng các lỗi này đang bị tấn công mạng. Đến thứ Tư, nhiều nhà nghiên cứu đã báo cáo hoạt động ném tuyết trên mạng.
Các lỗ hổng hiện có CVE theo dõi. Một trong số đó là bỏ qua xác thực ở mức độ nghiêm trọng tối đa (CVE-2024-1709, CVSS 10), cho phép kẻ tấn công có quyền truy cập mạng vào giao diện quản lý để tạo tài khoản mới, cấp quản trị viên trên các thiết bị bị ảnh hưởng. Nó có thể được ghép nối với lỗi thứ hai, sự cố truyền tải đường dẫn (CVE-2024-1708, CVSS 8.4) cho phép truy cập tệp trái phép.
Hoạt động tăng cường hoạt động của nhà môi giới truy cập ban đầu
Theo Shadowserver Foundation, có ít nhất 8,200 trường hợp dễ bị tấn công của nền tảng này được tiếp xúc với Internet trong phạm vi đo từ xa của nó, với phần lớn trong số đó nằm ở Hoa Kỳ.
“CVE-2024-1709 được khai thác rộng rãi: 643 IP được phát hiện tấn công bởi các cảm biến của chúng tôi,” nó đã nói trong một bài đăng trên LinkedIn.
Các nhà nghiên cứu của Huntress cho biết một nguồn tin trong cộng đồng tình báo Mỹ đã nói với họ rằng môi giới truy cập ban đầu (IAB) đã bắt đầu phát hiện các lỗi để thiết lập cửa hàng bên trong các điểm cuối khác nhau, với mục đích bán quyền truy cập đó cho các nhóm ransomware.
Và thực tế, trong một trường hợp, Huntress đã quan sát thấy những kẻ tấn công mạng sử dụng các lỗ hổng bảo mật để triển khai ransomware cho chính quyền địa phương, bao gồm cả các điểm cuối có khả năng liên kết với hệ thống 911.
Hanslovan cho biết: “Mức độ phổ biến rộng rãi của phần mềm này và khả năng truy cập mà lỗ hổng này mang lại cho thấy chúng ta đang đứng trước nguy cơ xảy ra một loại ransomware miễn phí cho tất cả mọi người”. “Các bệnh viện, cơ sở hạ tầng quan trọng và các tổ chức nhà nước đều có nguy cơ gặp rủi ro.”
Ông nói thêm: “Và một khi họ bắt đầu sử dụng bộ mã hóa dữ liệu của mình, tôi sẵn sàng cá rằng 90% phần mềm bảo mật phòng ngừa sẽ không phát hiện được vì nó đến từ một nguồn đáng tin cậy.”
Trong khi đó, các nhà nghiên cứu của Bitdefender đã chứng thực hoạt động này và lưu ý rằng các tác nhân đe dọa đang sử dụng các tiện ích mở rộng độc hại để triển khai trình tải xuống có khả năng cài đặt thêm phần mềm độc hại trên các máy bị xâm nhập.
“Chúng tôi đã nhận thấy một số trường hợp các cuộc tấn công tiềm ẩn lợi dụng thư mục tiện ích mở rộng của ScreenConnect, [trong khi công cụ bảo mật] cho thấy sự hiện diện của trình tải xuống dựa trên công cụ tích hợp certutil.exe,” theo một báo cáo. Bài đăng trên blog của Bitdefender về hoạt động mạng ConnectWise. “Những kẻ đe dọa thường sử dụng công cụ này… để bắt đầu tải xuống các tải trọng độc hại bổ sung vào hệ thống của nạn nhân.”
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung các lỗi này vào Danh mục các lỗ hổng được khai thác đã biết.
Giảm thiểu CVE-2024-1709, CVE-2024-1708
Các phiên bản tại chỗ lên đến 23.9.7 đều dễ bị tấn công — vì vậy cách bảo vệ tốt nhất là xác định tất cả các hệ thống nơi ConnectWise ScreenConnect được triển khai và áp dụng các bản vá được phát hành bởi Phiên bản ScreenConnect 23.9.8.
Các tổ chức cũng nên theo dõi các chỉ số về sự xâm phạm (IoC) được ConnectWise liệt kê trong phần tư vấn của mình. Các nhà nghiên cứu của Bitdefender ủng hộ việc giám sát thư mục “C:Program Files (x86)ScreenConnectApp_Extensions”; Bitdefender đã gắn cờ rằng mọi tệp .ashx và .aspx đáng ngờ được lưu trữ trực tiếp trong thư mục gốc của thư mục đó có thể cho thấy việc thực thi mã trái phép.
Ngoài ra, sắp có tin tốt: “ConnectWise cho biết họ đã thu hồi giấy phép đối với các máy chủ chưa được vá lỗi và mặc dù chúng tôi chưa rõ cách thức hoạt động của tính năng này nhưng có vẻ như lỗ hổng này vẫn là mối lo ngại lớn đối với bất kỳ ai đang chạy phiên bản dễ bị tấn công hoặc ai đã làm điều đó. không vá lỗi nhanh chóng,” các nhà nghiên cứu của Bitdefender cho biết thêm. “Điều này không có nghĩa là hành động của ConnectWise không hiệu quả, chúng tôi không chắc điều này diễn ra như thế nào vào thời điểm này.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
- : có
- :là
- :không phải
- :Ở đâu
- $ LÊN
- 10
- 200
- 2021
- 2024
- 23
- 7
- 8
- 9
- a
- truy cập
- Theo
- Tài khoản
- hành động
- hoạt động
- hoạt động
- diễn viên
- thêm
- thêm vào
- cố vấn
- biện hộ
- bị ảnh hưởng
- đủ khả năng
- Sau
- cơ quan
- Tất cả
- cho phép
- cho phép
- Ngoài ra
- an
- và
- và cơ sở hạ tầng
- bất kì
- bất kỳ ai
- Xuất hiện
- xuất hiện
- Các Ứng Dụng
- Nộp đơn
- LÀ
- AS
- At
- tấn công
- kẻ tấn công
- Tấn công
- Các cuộc tấn công
- xác nhận
- Xác thực
- dựa
- BE
- bởi vì
- BEST
- Đặt cược
- lớn nhất
- Blog
- môi giới
- Bug
- lỗi
- được xây dựng trong
- các doanh nghiệp
- by
- bỏ qua
- CAN
- có khả năng
- Catch
- giám đốc điều hành
- chuỗi
- mã
- đến
- bình luận
- thông thường
- cộng đồng
- thỏa hiệp
- Thỏa hiệp
- Liên quan
- Kết nối
- điều khiển
- có thể
- tạo
- quan trọng
- Cơ sở hạ tầng quan trọng
- Cóc
- khách hàng
- không gian mạng
- Tấn công mạng
- An ninh mạng
- dữ liệu
- Ngày
- Ngày
- cung cấp
- triển khai
- triển khai
- máy tính để bàn
- Thiết bị (Devices)
- ĐÃ LÀM
- trực tiếp
- Cửa
- tải về
- cuối
- môi trường
- thực hiện
- Khai thác
- khai thác
- khai thác
- khai thác
- tiếp xúc
- mở rộng
- phải đối mặt
- Tập tin
- Các tập tin
- được gắn cờ
- Trong
- Nền tảng
- từ
- Thu được
- được
- tốt
- Chính phủ
- Các nhóm
- tin tặc
- Có
- chân trời
- bệnh viện
- Độ đáng tin của
- HTTPS
- Hàng trăm
- xác định
- in
- sự cố
- Bao gồm
- thực sự
- chỉ
- Các chỉ số
- Cơ sở hạ tầng
- ban đầu
- bắt đầu
- trong
- Cài đặt
- ví dụ
- tổ chức
- Sự thông minh
- ý định
- Giao thức
- Internet
- trong
- vấn đề
- Ban hành
- IT
- ITS
- jpg
- Giữ
- kyle
- ít nhất
- tận dụng
- Li
- giấy phép
- Có khả năng
- liên kết
- Liệt kê
- địa phương
- Chính quyền địa phương
- nằm
- tìm kiếm
- máy
- Máy móc
- chính
- Đa số
- độc hại
- phần mềm độc hại
- quản lý
- quản lý
- Thánh Lễ
- Có thể..
- Trong khi đó
- giảm nhẹ
- Thứ Hai
- giám sát
- nhiều
- mạng
- Mới
- tin tức
- Không
- Lưu ý
- tại
- of
- on
- hàng loạt
- ONE
- trên
- mở
- or
- Khác
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- ra
- ghép đôi
- Vá
- Các bản vá lỗi
- nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- chơi
- PoC
- sẵn sàng
- Bài đăng
- tiềm năng
- Chuẩn bị
- sự hiện diện
- tỷ lệ
- đặc quyền
- chương trình
- bảo vệ
- đã được chứng minh
- nhà cung cấp
- Đẩy
- Mau
- Giốc
- ransomware
- RE
- xa
- truy cập từ xa
- Báo cáo
- Báo cáo
- nhà nghiên cứu
- Nguy cơ
- Lăn
- nguồn gốc
- chạy
- s
- Nói
- nói
- Thứ hai
- an ninh
- lỗ hổng bảo mật
- đã xem
- Bán
- cảm biến
- Các máy chủ
- dịch vụ
- các nhà cung cấp dịch vụ
- định
- một số
- Tổ chức Shadowserver
- Cửa hàng
- nên
- tín hiệu
- tương tự
- So
- Phần mềm
- nguồn
- Được tài trợ
- Bắt đầu
- bắt đầu
- Tiểu bang
- quy định
- Vẫn còn
- lưu trữ
- như vậy
- Gợi ý
- cung cấp
- chuỗi cung ứng
- hỗ trợ
- đáng ngờ
- nhanh chóng
- hệ thống
- hệ thống
- công nghệ cao
- 10
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- Đó
- họ
- điều này
- những
- Tuy nhiên?
- nghìn
- hàng ngàn
- mối đe dọa
- diễn viên đe dọa
- thời gian
- đến
- nói với
- công cụ
- Theo dõi
- đáng tin cậy
- Thứ Ba
- không được phép
- Dưới
- trở lên
- us
- sử dụng
- đã sử dụng
- người sử dang
- sử dụng
- khác nhau
- Ve
- phiên bản
- phiên bản
- nạn nhân
- Lỗ hổng
- dễ bị tổn thương
- Dễ bị tổn thương
- cảnh báo
- cảnh báo
- we
- Thứ Tư
- là
- cái nào
- trong khi
- CHÚNG TÔI LÀ
- rộng rãi
- Hoang dã
- sẽ
- sẵn sàng
- với
- ở trong
- đang làm việc
- công trinh
- tệ hơn
- zephyrnet