ConnectWise ScreenConnecti kasutajad, kes ei ole veel kriitilist haavatavust parandanud, on nüüd suunatud küberrünnakute, sealhulgas lunavara vastu.
1 — Küberrünnakuid ConnectWise ScreenConnecti kaughaldusplatvormi haavatavate eksemplaride vastu on nüüd täheldatud pärast teenuse kriitilise haavatavuse avalikustamist, sealhulgas mõni üksikisik, kes kasutab LockBiti lunavara lekkinud varianti.
・CVE-2024-1709 – mida üks kapoti all ringi torganud teadlane kirjeldas kui triviaalset ärakasutamist – on autentimisest möödaviimise haavatavus ja see avalikustati selle nädala alguses. Teine, vähem tõsine, kuid siiski ohtlik probleem, CVE-2024-1708, on samuti liikvel.
・Plaastrid on saadaval ja lisateavet nende rakendamise ja selle kohta, kes seda tegema peavad, leiate ConnectWise'ist.
・Arvestades ärakasutamise lihtsust, olid vaatlejad juba ennustanud, et rünnakud toimuvad lühikese aja jooksul, ja nüüd näib see nii olevat, nagu märkis Sophos X-Opsi direktor Christopher Budd.
・"Oleme viimase 48 tunni jooksul näinud mitu ScreenConnecti rünnakut. Kõige tähelepanuväärsem on olnud 2022. aastal lekkinud LockBit 3 lunavaraehitaja tööriista abil loodud pahavara: see ei pruugi pärineda tegelikelt LockBiti arendajatelt. Kuid me näeme ka RAT-e [kaugjuurdepääsuga troojalasi], infovarastajaid, paroolivarastajaid ja muud lunavara. Kõik see näitab, et ScreenConnecti sihikule sihivad paljud erinevad ründajad,” ütles Budd
・"Igaüks, kes kasutab ScreenConnecti, peaks astuma samme haavatavate serverite ja klientide viivitamatuks isoleerimiseks, nende parandamiseks ja kompromissimärkide kontrollimiseks. Sophosel on abiks ulatuslikud juhised ja Sophos X-Opsi ohtude otsimise materjalid. Jätkame uurimist ja teeme vajaduse korral värskendusi, ”ütles ta Computer Weeklyle e-kirjaga saadetud kommentaarides.
・Mike Walters, Action1 president ja kaasasutaja, plaastrihalduse spetsialist, oli nende seas, kes kutsusid ConnectWise'i kliente üles istuma ja märkama. "Võib olla tuhandeid ohustatud juhtumeid. Neid haavatavusi ära kasutav massiivne rünnak võib sarnaneda Kaseya haavatavuse ärakasutamisega 2021. aastal, kuna ScreenConnect on MSP-de ja MSSP-de seas väga populaarne RMM ja võib põhjustada võrreldavat kahju, ”ütles ta.
・ "Turvanõuannetes öeldakse, et ScreenConnecti uuendatud versioonid 22.4 kuni 23.9.7 on kavas välja anda, ja rõhutab soovitust minna üle ScreenConnecti versioonile 23.9.8 kui prioriteet.
・"Pilvekliente, kes majutavad ScreenConnecti servereid domeenides "screenconnect.com" või "hostedrmm.com", see ei mõjuta, kuna nende pilveteenuse haavatavuste kõrvaldamiseks on rakendatud värskendusi," lisas Walters.
2 — Selle artikli kirjutamise ajal näitavad Shodani andmed, et Internetis on umbes 9000 haavatavat ScreenConnecti juhtumit, millest veidi alla 500 asub Ühendkuningriigis.
・Sophos ütles, et kasutamise lihtsus sundis kasutajaid oma kokkupuudet hindama ja astuma samme peale lihtsalt lappimise.
・Maksimaalse kaitse tagamiseks peaksid turvameeskonnad olema kindlad, et nad on tuvastanud kõik ScreenConnecti installid – sealhulgas need, mida haldavad välised hallatavad teenusepakkujad (MSP-d), isoleerima või desinstallima klienditarkvara tuvastatud seadmetest, kuni nad saavad kinnitada, et need on paigatud, ja seejärel kontrollima neid seadmeid. võimaliku pahatahtliku tegevuse eest. See võib hõlmata uute kohalike kasutajate loomist, kahtlast klienditarkvara tegevust, süsteemi ja domeeni kontrollimist ning mis tahes toiminguid, mis võivad viidata sellele, et keegi on üritanud turvakontrolle keelata.
・ConnectWise'i pressiesindaja ütles Computer Weeklyle: "Oleme oma ScreenConnecti tarkvara kahe haavatavusega kiiresti tegelenud. Meie pilvepartnerid kaitsti automaatselt 48 tunni jooksul, samal ajal kui kohapealseid kliente kutsuti üles pakutud plaaster viivitamatult meie pakutava täiendustee kaudu rakendama. Oleme jätkuvalt pühendunud oma partnerite süsteemide turvalisuse esikohale seadmisele ning jätkame ennetavate meetmete võtmist haavatavuste kiireks ja tõhusaks kõrvaldamiseks.
・Nad lisasid: "Praegu ei saa me kindlalt tuvastada otsest seost haavatavuse ja mis tahes turvaintsidentide vahel."
・Seda artiklit muudeti 23. veebruaril 2024 kell 17.30 GMT, et lisada ConnectWise'i avaldus.
https://www.computerweekly.com/news/...ing-ransomware