就在最初的利用报告开始出现几天后 ConnectWise ScreenConnect 中的严重安全漏洞 远程桌面管理服务,研究人员警告称,大规模的供应链攻击可能即将爆发。
Huntress 首席执行官凯尔·汉斯洛万 (Kyle Hanslovan) 在电子邮件评论中表示,一旦漏洞被利用,黑客将远程访问“上万台服务器,控制数十万个端点”,并认为是时候为“2024 年最大的网络安全事件”做好准备了。 ”。
技术支持人员和其他人可以使用 ScreenConnect 对计算机进行身份验证,就像他们是用户一样。因此,它可能允许威胁行为者渗透高价值端点并利用他们的特权。
更糟糕的是,该应用程序被托管服务提供商 (MSP) 广泛用于连接到客户环境,因此它也可能为希望使用这些 MSP 进行下游访问的威胁行为者打开大门,类似于 卡塞亚海啸袭击 企业在 2021 年面临的问题。
ConnectWise Bug 获取 CVE
ConnectWise 周一披露了这些漏洞,但没有提供 CVE,之后概念验证 (PoC) 漏洞很快就出现了。周二,ConnectWise 警告称,这些漏洞正受到积极的网络攻击。截至周三,多名研究人员报告称网络活动呈滚雪球式增长。
这些漏洞现在有跟踪 CVE。其中之一是最高严重性身份验证绕过(CVE-2024-1709、CVSS 10),它允许具有管理界面网络访问权限的攻击者在受影响的设备上创建新的管理员级帐户。它可以与第二个错误配对,即允许未经授权的文件访问的路径遍历问题(CVE-2024-1708、CVSS 8.4)。
初始访问经纪人加大活动力度
据 Shadowserver 基金会称,该平台的遥测数据中至少有 8,200 个存在漏洞的实例暴露在互联网上,其中大多数位于美国。
“CVE-2024-1709 在野外被广泛利用:迄今为止,我们的传感器已发现 643 个 IP 受到攻击,” 在 LinkedIn 帖子中说.
女猎手研究人员表示,美国情报界的一位消息人士告诉他们, 初始访问经纪人 (IAB) 已经开始抓住这些漏洞,在各个端点内建立商店,目的是将访问权限出售给勒索软件组织。
事实上,Huntress 观察到网络攻击者利用安全漏洞向当地政府部署勒索软件,其中包括可能与 911 系统相关的端点。
汉斯洛万说:“该软件的广泛流行以及该漏洞提供的访问权限表明我们正处于勒索软件肆虐的风口浪尖。” “事实证明,医院、关键基础设施和国家机构都面临风险。”
他补充道:“一旦他们开始推广他们的数据加密器,我敢打赌 90% 的预防性安全软件不会捕获它,因为它来自可信的来源。”
与此同时,Bitdefender 研究人员证实了这一活动,并指出威胁行为者正在使用恶意扩展来部署一个下载程序,该下载程序能够在受感染的计算机上安装其他恶意软件。
“我们注意到有几个利用 ScreenConnect 扩展文件夹的潜在攻击实例,[同时安全工具]表明存在基于 certutil.exe 内置工具的下载程序,” Bitdefender 关于 ConnectWise 网络活动的博客文章。 “威胁行为者通常使用此工具......来启动将其他恶意负载下载到受害者的系统上。”
美国网络安全和基础设施安全局 (CISA) 已将这些漏洞添加到其 已知利用漏洞目录.
针对 CVE-2024-1709、CVE-2024-1708 的缓解措施
23.9.7 及之前的本地版本很容易受到攻击,因此最好的保护是识别部署了 ConnectWise ScreenConnect 的所有系统并应用由 ScreenConnect 版本 23.9.8.
组织还应密切关注 ConnectWise 在其咨询中列出的妥协指标 (IoC)。 Bitdefender 研究人员主张监控“C:Program Files (x86)ScreenConnectApp_Extensions”文件夹; Bitdefender 标记,直接存储在该文件夹根目录中的任何可疑 .ashx 和 .aspx 文件可能表明未经授权的代码执行。
此外,可能还会有好消息:“ConnectWise 表示他们撤销了未打补丁的服务器的许可证,虽然我们还不清楚这是如何运作的,但看来这个漏洞仍然是任何运行易受攻击版本或使用过该漏洞的人的主要担忧。 Bitdefender 研究人员补充道: “这并不是说 ConnectWise 的行动不起作用,我们不确定目前情况如何。”
- :具有
- :是
- :不是
- :在哪里
- $UP
- 10
- 200
- 2021
- 2024
- 23
- 7
- 8
- 9
- a
- ACCESS
- 根据
- 账号管理
- 行动
- 要积极。
- 活动
- 演员
- 添加
- 额外
- advisory
- 主张
- 影响
- 有能力
- 后
- 机构
- 所有类型
- 让
- 允许
- 还
- an
- 和
- 和基础设施
- 任何
- 任何人
- 出现
- 出现
- 应用领域
- 应用
- 保健
- AS
- At
- 攻击
- 攻击者
- 攻击
- 攻击
- 认证
- 认证
- 基于
- BE
- 因为
- 最佳
- 打赌
- 最大
- 博客
- 经纪人
- 问题
- 虫子
- 内建的
- 企业
- by
- 绕行
- CAN
- 能力
- 摔角
- CEO
- 链
- 码
- 未来
- 评论
- 常用
- 社体的一部分
- 妥协
- 妥协
- 关心
- 分享链接
- 控制
- 可以
- 创建信息图
- 危急
- 关键基础设施
- 尖点
- 顾客
- 网络
- 网络攻击
- 网络安全
- data
- 日期
- 一年中的
- 提供
- 部署
- 部署
- 通过电脑捐款
- 设备
- DID
- 直接
- 门
- 下载
- 结束
- 环境中
- 执行
- 利用
- 开发
- 剥削
- 功勋
- 裸露
- 扩展
- 面临
- 文件
- 档
- 已标记
- 针对
- 基金会
- 止
- Gain增益
- 得到
- 非常好
- 政府
- 组的
- 黑客
- 有
- 地平线
- 医院
- 创新中心
- HTTPS
- 数百
- 确定
- in
- 事件
- 包含
- 的确
- 表明
- 指标
- 基础设施
- 初始
- 开始
- 内
- 安装
- 例
- 机构
- 房源搜索
- 意图
- 接口
- 网络
- 成
- 问题
- 发行
- IT
- 它的
- JPG
- 保持
- 凯尔
- 最少
- 借力
- Li
- 许可证
- 容易
- 链接
- 已发布
- 本地
- 地方政府
- 位于
- 寻找
- 机
- 机
- 主要
- 多数
- 恶意
- 恶意软件
- 管理
- 颠覆性技术
- 质量
- 可能..
- 与此同时
- 减轻
- 周一
- 监控
- 多
- 网络
- 全新
- 消息
- 没有
- 注意
- 现在
- of
- on
- 一旦
- 一
- 到
- 打开
- or
- 其它
- 我们的
- 输出
- 配对
- 打补丁
- 补丁
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- 的PoC
- 准备
- 帖子
- 潜力
- Prepare
- 存在
- 流行
- 权限
- 曲目
- 保护
- 成熟
- 供应商
- 推动
- 很快
- 斜坡
- 勒索
- RE
- 远程
- 通过远程访问
- 报告
- 业务报告
- 研究人员
- 风险
- 卷
- 根
- 运行
- s
- 说
- 对工资盗窃
- 其次
- 保安
- 安全漏洞
- 看到
- 卖房
- 传感器
- 服务器
- 服务
- 服务供应商
- 集
- 几个
- 影子服务器基金会
- 商城
- 应该
- 信号
- 类似
- So
- 软件
- 来源
- 赞助商
- 开始
- 开始
- 州/领地
- 说
- 仍
- 存储
- 这样
- 提示
- 供应
- 供应链
- SUPPORT
- 可疑
- 如飞
- 系统
- 产品
- 科技
- 十
- 这
- 其
- 他们
- 那里。
- 他们
- Free Introduction
- 那些
- 虽然?
- 千
- 数千
- 威胁
- 威胁者
- 次
- 至
- 告诉
- 工具
- 跟踪
- 信任
- 周二
- 擅自
- 下
- 向上
- us
- 使用
- 用过的
- 用户
- 运用
- 各个
- Ve
- 版本
- 版本
- 受害者
- 漏洞
- 漏洞
- 脆弱
- 警告
- 警告
- we
- 周三
- 为
- 这
- 而
- WHO
- 广泛
- Wild!!!
- 将
- 愿意
- 中
- 加工
- 合作
- 更坏
- 和风网