Cybereksperci zaniepokojeni „trywialnymi” lukami w ConnectWise


Para nowo ujawnionych luk w powszechnie używanej aplikacji dostępu do zdalnego pulpitu, uwielbianej przez dostawców usług zarządzanych (MSP), jest porównywana z cyberatak na Kaseyę w lipcu 2021 ra eksperci ds. bezpieczeństwa opisali wykorzystanie jako trywialne.

Przedmiotowy produkt, ConnectWise ScreenConnect, jest powszechnie używany zarówno przez pracowników zdalnych, jak i zespoły wsparcia IT. Pierwsza luka umożliwia ugrupowaniu zagrażającemu obejście uwierzytelniania przy użyciu alternatywnej ścieżki lub kanału i jest śledzona jako CVE-2024-1709. Ma krytyczny wynik CVSS wynoszący 10 i został już dodany do katalogu znanych luk w zabezpieczeniach CISA (KEV). Drugim problemem jest problem z przejściem ścieżki, oznaczony jako CVE-2024-1708, który uzyskał wynik CVSS na poziomie 8,4.

ConnectWise udostępniło poprawki tego problemu i twierdzi, że partnerzy chmurowi podjęli już działania naprawcze w zakresie obu rozwiązań, podczas gdy partnerzy lokalni powinni natychmiast dokonać aktualizacji do wersji 23.9.10.8817. Więcej informacji, w tym wskaźniki kompromisu (IoC), można znaleźć tutaj.

ConnectWise potwierdził, że wie o podejrzanych działaniach związanych z tymi dwiema lukami i bada je, a 21 lutego potwierdził zaobserwowane aktywne wykorzystanie po tym, jak kod exploita weryfikującego koncepcję trafił do GitHub.

„Każdy użytkownik ConnectWise ScreenConnect 23.9.8 powinien natychmiast podjąć kroki w celu załatania tych systemów. Jeśli nie mogą natychmiast zastosować poprawki, powinni podjąć kroki w celu usunięcia ich z Internetu do czasu, aż będzie można dokonać aktualizacji. Użytkownicy powinni również sprawdzić, czy nie występują oznaki możliwego naruszenia bezpieczeństwa, biorąc pod uwagę szybkość, z jaką ataki nastąpiły po tych łatkach” – powiedział dyrektor Sophos X-Ops Christopher Budd.

„Powiązanie możliwej do wykorzystania luki w zabezpieczeniach z zewnętrznymi usługami zdalnymi jest istotnym czynnikiem w atakach w świecie rzeczywistym, co wykazano w badaniu Raport aktywnego przeciwnika dla liderów technologicznych w oparciu o przypadki reakcji na incydenty. Zewnętrzne usługi zdalne są techniką pierwszego dostępu numer jeden; chociaż wykorzystanie luki w zabezpieczeniach było drugą najczęstszą przyczyną pierwotną (23%), było to najczęstszą przyczyną pierwotną w przeszłości.

Reklama

„Te rzeczywiste dane pokazują, jak potężna jest ta kombinacja dla atakujących i dlaczego w środowisku o znacznie podwyższonym zagrożeniu podatni na zagrożenia klienci ConnectWise muszą podjąć natychmiastowe działania, aby się chronić” – dodał.

W następstwie wstępnego zawiadomienia o ujawnieniu informacji przesłanego przez ConnectWise badacze z Huntress Security przez noc pracował nad usunięciem luki, zrozumieniem jej działania i odtworzeniem exploita.

Hanslovan powiedział, że początkowe ujawnienie nie zawierało zbyt wielu szczegółów technicznych i nie bez powodu, ale po opublikowaniu kodu exploita PoC sytuacja została już całkowicie wyjaśniona. Opisał wyzysk jako „żenująco łatwy”.

„Nie mogę tego smarować, to gówno jest złe” – powiedział Kyle’a Hanslovana, dyrektor generalny Huntress. „Mówimy o ponad dziesięciu tysiącach serwerów kontrolujących setki tysięcy punktów końcowych…. Samo rozpowszechnienie tego oprogramowania i dostęp zapewniany przez tę lukę sygnalizują, że jesteśmy o krok od bezpłatnego oprogramowania ransomware. Udowodniono, że szpitale, infrastruktura krytyczna i instytucje państwowe są zagrożone”.

Porównania z Kaseyą

Rok 2021 Kaseya zaatakowana przez ekipę ransomware REvil był jednym z pierwszych głośnych incydentów w łańcuchu dostaw, który podniósł powszechną świadomość na temat problemów bezpieczeństwa związanych z usługami zarządzanymi.

Atak, który miał miejsce w USA w weekend świąteczny 4 lipca, kiedy zespoły ds. bezpieczeństwa miały przerwę w działaniu, doprowadził do naruszenia bezpieczeństwa ponad tysiąca organizacji za pośrednictwem usługi zarządzania punktami końcowymi i siecią firmy Kaseya.

Incydent związany z transferem plików zarządzanym przez MOVEit w 2023 r. miał podobny wpływ, umożliwiając gangowi oprogramowania ransomware Clop/Cl0p rozprzestrzenienie się na wiele organizacji którzy mieli umowę z klientami MOVEit.

Hanslovan stwierdził, że porównania obu incydentów były trafne, biorąc pod uwagę ogromną liczbę dostawców usług MSP korzystających z ConnectWise.

„Nadchodzi rozliczenie z oprogramowaniem o podwójnym przeznaczeniu; Podobnie jak Huntress odkryta latem w MOVEit, tę samą płynną funkcjonalność, jaką zapewnia zespołom IT, zapewnia także hakerom” – powiedział.

„Dzięki oprogramowaniu do zdalnego dostępu przestępcy mogą rozpowszechniać oprogramowanie ransomware równie łatwo, jak dobrzy mogą rozpowszechniać łatki. A kiedy zaczną wykorzystywać swoje programy szyfrujące dane, mogę się założyć, że 90% programów zabezpieczających nie wyłapie tego, ponieważ pochodzi z zaufanego źródła”.



Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

Keanu Reeves podkłada głos Shadow the Hedgehog w trzecim filmie Sonic

Według obu Reporter z Hollywood I RóżnorodnośćKeanu Reeves podkłada głos Shadowowi, antropomorficznemu jeżowi najbardziej znanemu ze swoich tenisówek napędzanych odrzutowcami i zamiłowania...

Wielka Brytania rozważa potencjalne regulacje dotyczące sztucznej inteligencji

Urzędnicy brytyjskiego Departamentu Nauki, Innowacji i Technologii rozpoczęli prace nad przepisami regulującymi modele sztucznej inteligencji, Bloomberga raporty. Nie jest jasne, w jaki...

Właściciele Cybertrucków twierdzą, że dostawy zostały wstrzymane z powodu złego pedału przyspieszenia

W ciągu ostatnich kilku dni Tesla opóźniała niektóre dostawy Cybertrucka. Firma nie określiła powodu opóźnień ani nawet nie skomentowała ich publicznie, ale...
Advertisment