Lỗi nghiêm trọng của ConnectWise RMM sẵn sàng cho hoạt động khai thác tuyết lở

Người dùng công cụ quản lý máy tính từ xa ConnectWise ScreenConnect đang bị tấn công mạng tích cực, sau khi khai thác bằng chứng khái niệm (PoC) xuất hiện để phát hiện lỗ hổng bảo mật nghiêm trọng nhất trong nền tảng. Các nhà nghiên cứu đang cảnh báo rằng tình huống này có khả năng bùng nổ thành một sự kiện thỏa hiệp hàng loạt.

ScreenConnect có thể được bộ phận hỗ trợ kỹ thuật và những người khác sử dụng để xác thực máy như thể họ là người dùng. Do đó, nó cung cấp một đường dẫn cho các tác nhân đe dọa đang tìm cách xâm nhập vào các điểm cuối có giá trị cao và bất kỳ khu vực nào khác của mạng công ty mà chúng có thể có quyền truy cập.

Bỏ qua xác thực ScreenConnect quan trọng

Trong một lời khuyên vào thứ Hai, ConnectWise tiết lộ một bước bỏ qua xác thực đạt điểm 10/10 trên thang điểm mức độ nghiêm trọng của lỗ hổng CVSS; Bên cạnh việc mở cửa trước cho các máy tính để bàn được nhắm mục tiêu, nó còn cho phép kẻ tấn công tiếp cận lỗi thứ hai, cũng được tiết lộ hôm thứ Hai, đó là sự cố truyền tải đường dẫn (CVSS 8.4) cho phép truy cập tệp trái phép.

James Horseman, nhà phát triển khai thác Horizon3.ai, cho biết trong một blog hôm nay: “Lỗ hổng này cho phép kẻ tấn công tạo người dùng quản trị của riêng họ trên máy chủ ScreenConnect, trao cho họ toàn quyền kiểm soát máy chủ”. cung cấp chi tiết kỹ thuật về đường vòng xác thực và các chỉ số thỏa hiệp (IoC). “Lỗ hổng này tiếp nối chủ đề của các lỗ hổng gần đây khác, cho phép kẻ tấn công khởi tạo lại ứng dụng hoặc tạo người dùng ban đầu sau khi thiết lập.”

Vào thứ Ba, ConnectWise đã cập nhật lời khuyên của mình để xác nhận việc khai thác tích cực các vấn đề chưa có CVE: “Chúng tôi đã nhận được thông tin cập nhật về các tài khoản bị xâm nhập mà nhóm ứng phó sự cố của chúng tôi có thể điều tra và xác nhận”. Nó cũng bổ sung thêm một danh sách đầy đủ các IoC.

Trong khi đó, Piotr Kijewski, Giám đốc điều hành của Shadowserver Foundation, xác nhận đã nhìn thấy các yêu cầu khai thác ban đầu trong các cảm biến honeypot của tổ chức phi lợi nhuận.

“Kiểm tra các dấu hiệu xâm phạm (như người dùng mới được thêm) và vá lỗi!” ông nhấn mạnh thông qua danh sách gửi thư của Shadowserver, đồng thời nói thêm rằng tính đến thứ Ba, toàn bộ 93% phiên bản ScreenConnect vẫn dễ bị tấn công (khoảng 3,800 lượt cài đặt), hầu hết trong số đó đều ở Hoa Kỳ.

Các lỗ hổng ảnh hưởng đến ScreenConnect phiên bản 23.9.7 trở về trước và đặc biệt ảnh hưởng đến các bản cài đặt tự lưu trữ hoặc tại chỗ; khách hàng đám mây lưu trữ máy chủ ScreenConnect trên miền “screenconnect.com” hoặc “hostedrmm.com” không bị ảnh hưởng.

Mong đợi việc khai thác ConnectWise đối với Snowball

Mặc dù các nỗ lực khai thác hiện có số lượng thấp nhưng Mike Walters, chủ tịch và đồng sáng lập của Action1, cho biết trong một bài bình luận qua email rằng các doanh nghiệp nên mong đợi “những tác động bảo mật đáng kể” từ các lỗi ConnectWise.

Walters, người cũng xác nhận việc khai thác lỗ hổng một cách tự nhiên, cho biết có khả năng sẽ có “hàng nghìn trường hợp bị xâm phạm”. Tuy nhiên, các vấn đề này cũng có khả năng bùng phát thành một cuộc tấn công chuỗi cung ứng trên diện rộng, trong đó kẻ tấn công xâm nhập vào các nhà cung cấp dịch vụ bảo mật được quản lý (MSSP), sau đó nhắm vào khách hàng doanh nghiệp của họ.

Ông giải thích: “Cuộc tấn công lớn khai thác những lỗ hổng này có thể tương tự như cuộc tấn công Khai thác lỗ hổng Kaseya vào năm 2021, vì ScreenConnect là một [công cụ giám sát và quản lý từ xa] RMM rất phổ biến trong số các MSP và MSSP và có thể gây ra thiệt hại tương đương.”

Cho đến nay, cả nhà nghiên cứu Huntress và nhà nghiên cứu từ nhóm tấn công Horizon3 đều đã công khai phát hành PoC để tìm lỗi và những người khác chắc chắn sẽ làm theo.

Để tự bảo vệ mình, quản trị viên ConnectWise SmartScreen nên nâng cấp ngay lên phiên bản 23.9.8 để vá hệ thống của mình, sau đó sử dụng IoC được cung cấp để truy tìm dấu hiệu khai thác.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/remote-workforce/critical-connectwise-rmm-bug-poised-exploitation-avalanche