Obecnie obserwuje się cyberataki na podatne na ataki instancje platformy zdalnego zarządzania ConnectWise ScreenConnect po ujawnieniu krytycznej luki w serwisiew tym niektóre przez osobę korzystającą z ujawnionej wersji systemu ransomware LockBit.
CVE-2024-1709 – opisany jako „trywialny” do wykorzystania przez jednego z badaczy, który grzebał pod maską – to luka polegająca na obejściu uwierzytelniania i została ujawniona na początku tego tygodnia. W obiegu znajduje się również drugi, mniej poważny, ale wciąż niebezpieczny problem, CVE-2024-1708.
Dostępne są poprawki Dalsze szczegóły dotyczące sposobu ich stosowania oraz osób, które muszą to zrobić, można uzyskać w ConnectWise.
Biorąc pod uwagę łatwość wykorzystania, obserwatorzy przewidywali już, iż ataki nastąpią w krótkim czasie i w tej chwili wydaje się, iż tak właśnie jest, jak zauważył dyrektor Sophos X-Ops Christopher Budd.
„W ciągu ostatnich 48 godzin widzieliśmy wiele ataków z udziałem ScreenConnect. Najbardziej godny uwagi jest szkodliwy program stworzony przy użyciu narzędzia do tworzenia ransomware LockBit 3, który wyciekł w 2022 roku: mogło nie pochodzić od faktycznych twórców LockBit. Ale widzimy także Szczury [remote access Trojans], kradzieże informacji, kradzieże haseł i inne oprogramowanie ransomware. Wszystko to pokazuje, iż celem ScreenConnect jest wielu różnych napastników” – powiedział Budd
„Każdy, kto korzysta z ScreenConnect, powinien podjąć kroki w celu natychmiastowego odizolowania podatnych na ataki serwerów i klientów, załatania ich i sprawdzenia pod kątem jakichkolwiek oznak naruszenia bezpieczeństwa. Sofos ma obszerne wytyczne i materiały dotyczące poszukiwania zagrożeń z Sophos X-Ops o pomoc. Kontynuujemy nasze dochodzenie i w razie potrzeby dokonamy aktualizacji” – powiedział Computer Weekly w komentarzach przesłanych e-mailem.
Mike Walters, prezes i współzałożyciel Akcja 1, specjalista ds. zarządzania poprawkami, był jedną z osób namawiających klientów ConnectWise do zatrzymania się i zwrócenia uwagi. „Potencjalnie mogą istnieć tysiące zainfekowanych instancji. Zmasowany atak wykorzystujący te luki może być podobny do wykorzystania luki w zabezpieczeniach Kaseya w 2021 r., ponieważ ScreenConnect to bardzo popularne narzędzie RMM wśród dostawców usług MSP i MSSP i może spowodować porównywalne szkody” – powiedział.
„W dokumencie dotyczącym bezpieczeństwa stwierdza się, iż planowane jest wydanie zaktualizowanych wersji ScreenConnect od 22.4 do 23.9.7 i podkreśla się zalecenie uaktualnienia do wersji ScreenConnect 23.9.8 jako priorytet.
„Nie ma to wpływu na klientów korzystających z chmury, którzy hostują serwery ScreenConnect w domenach „screenconnect.com” lub „hostedrmm.com”, ponieważ wdrożono aktualizacje eliminujące te luki w usłudze w chmurze” – dodał Walters.
W chwili pisania tego tekstu Dane Shodana pokazują iż w Internecie istnieje około 9 000 podatnych na ataki wystąpień ScreenConnect, z czego prawie 500 znajduje się w Wielkiej Brytanii.
Sophos stwierdziła, iż prostota wykorzystania wymaga od użytkowników oceny narażenia i podjęcia kroków wykraczających poza zwykłe łatanie.
Aby zapewnić maksymalną ochronę, zespoły ds. bezpieczeństwa powinny upewnić się, iż zidentyfikowały wszystkie instalacje ScreenConnect – w tym te prowadzone przez zewnętrznych dostawców usług zarządzanych (MSP), odizolować lub odinstalować oprogramowanie klienckie ze zidentyfikowanych urządzeń do czasu potwierdzenia, iż zostały wprowadzone poprawki, a następnie sprawdzić te urządzenia pod kątem potencjalnej złośliwej aktywności. Może to obejmować utworzenie nowych użytkowników lokalnych, podejrzane działanie systemu klienckiego, rozpoznanie systemu i domeny oraz wszelkie działania, które mogą wskazywać, iż ktoś próbował wyłączyć mechanizmy kontroli bezpieczeństwa.
Computer Weekly skontaktował się z ConnectWise w celu uzyskania komentarza, ale organizacja nie odpowiedziała w momencie publikacji.
