Użytkownicy ConnectWise obserwują wzrost liczby ataków cybernetycznych, w tym ransomware


Obecnie obserwuje się cyberataki na podatne na ataki instancje platformy zdalnego zarządzania ConnectWise ScreenConnect po ujawnieniu krytycznej luki w serwisiew tym niektóre przez osobę korzystającą z ujawnionej wersji oprogramowania ransomware LockBit.

CVE-2024-1709 – opisany jako „trywialny” do wykorzystania przez jednego z badaczy, który grzebał pod maską – to luka polegająca na obejściu uwierzytelniania i została ujawniona na początku tego tygodnia. W obiegu znajduje się również drugi, mniej poważny, ale wciąż niebezpieczny problem, CVE-2024-1708.

Dostępne są poprawki Dalsze szczegóły dotyczące sposobu ich stosowania oraz osób, które muszą to zrobić, można uzyskać w ConnectWise.

Biorąc pod uwagę łatwość wykorzystania, obserwatorzy przewidywali już, że ataki nastąpią w krótkim czasie i obecnie wydaje się, że tak właśnie jest, jak zauważył dyrektor Sophos X-Ops Christopher Budd.

„W ciągu ostatnich 48 godzin widzieliśmy wiele ataków z udziałem ScreenConnect. Najbardziej godny uwagi jest szkodliwy program stworzony przy użyciu narzędzia do tworzenia ransomware LockBit 3, który wyciekł w 2022 roku: mogło nie pochodzić od faktycznych twórców LockBit. Ale widzimy także Szczury [remote access Trojans], kradzieże informacji, kradzieże haseł i inne oprogramowanie ransomware. Wszystko to pokazuje, że celem ScreenConnect jest wielu różnych napastników” – powiedział Budd

„Każdy, kto korzysta z ScreenConnect, powinien podjąć kroki w celu natychmiastowego odizolowania podatnych na ataki serwerów i klientów, załatania ich i sprawdzenia pod kątem jakichkolwiek oznak naruszenia bezpieczeństwa. Sofos ma obszerne wytyczne i materiały dotyczące poszukiwania zagrożeń z Sophos X-Ops o pomoc. Kontynuujemy nasze dochodzenie i w razie potrzeby dokonamy aktualizacji” – powiedział Computer Weekly w komentarzach przesłanych e-mailem.

Reklama

Mike Walters, prezes i współzałożyciel Akcja 1, specjalista ds. zarządzania poprawkami, był jedną z osób namawiających klientów ConnectWise do zatrzymania się i zwrócenia uwagi. „Potencjalnie mogą istnieć tysiące zainfekowanych instancji. Zmasowany atak wykorzystujący te luki może być podobny do wykorzystania luki w zabezpieczeniach Kaseya w 2021 r., ponieważ ScreenConnect to bardzo popularne narzędzie RMM wśród dostawców usług MSP i MSSP i może spowodować porównywalne szkody” – powiedział.

„W dokumencie dotyczącym bezpieczeństwa stwierdza się, że planowane jest wydanie zaktualizowanych wersji ScreenConnect od 22.4 do 23.9.7 i podkreśla się zalecenie uaktualnienia do wersji ScreenConnect 23.9.8 jako priorytet.

„Nie ma to wpływu na klientów korzystających z chmury, którzy hostują serwery ScreenConnect w domenach „screenconnect.com” lub „hostedrmm.com”, ponieważ wdrożono aktualizacje eliminujące te luki w usłudze w chmurze” – dodał Walters.

W chwili pisania tego tekstu Dane Shodana pokazują że w Internecie istnieje około 9 000 podatnych na ataki wystąpień ScreenConnect, z czego prawie 500 znajduje się w Wielkiej Brytanii.

Sophos stwierdziła, że ​​prostota wykorzystania wymaga od użytkowników oceny narażenia i podjęcia kroków wykraczających poza zwykłe łatanie.

Aby zapewnić maksymalną ochronę, zespoły ds. bezpieczeństwa powinny upewnić się, że zidentyfikowały wszystkie instalacje ScreenConnect – w tym te prowadzone przez zewnętrznych dostawców usług zarządzanych (MSP), odizolować lub odinstalować oprogramowanie klienckie ze zidentyfikowanych urządzeń do czasu potwierdzenia, że ​​zostały wprowadzone poprawki, a następnie sprawdzić te urządzenia pod kątem potencjalnej złośliwej aktywności. Może to obejmować utworzenie nowych użytkowników lokalnych, podejrzane działanie oprogramowania klienckiego, rozpoznanie systemu i domeny oraz wszelkie działania, które mogą wskazywać, że ktoś próbował wyłączyć mechanizmy kontroli bezpieczeństwa.

Computer Weekly skontaktował się z ConnectWise w celu uzyskania komentarza, ale organizacja nie odpowiedziała w momencie publikacji.



Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

Senat ponownie zatwierdza program szpiegowski FISA, ale nie przed jego wygaśnięciem o północy

Senat przyjął ustawę ponownie zatwierdzającą art. 720 ustawy o nadzorze wywiadu zagranicznego (FISA), kontrowersyjny program umożliwiający szpiegowanie zagranicznych „celów” bez nakazu ale długa,...

Przewodnik po Dniu Społeczności Pokémon Go Bellsprout

PokemonGo organizuje wydarzenie z okazji Dnia Społeczności Bellsprout 20 kwietnia od 14:00 do 17:00 czasu lokalnego. Zgodnie z oczekiwaniami w przypadku...

Co oznacza restrukturyzacja Google dla Pixela i Androida?

Kluczowe dania na wynos Wewnętrzne zmiany Google pod rządami Ricka Osterloha mają na celu usprawnienie działania Pixela i Androida oraz usprawnienie...
Advertisment