Η ConnectWise προειδοποίησε
του
ς πελάτες να επιδιορθώσουν αμέσως τους διακο
μι
στές ScreenConnect τους ενάντια σε ένα ελάττωμα μέγιστης σοβαρότητας
που
μπορεί να χρησιμοποιηθεί σε επιθέσεις απομακρυσμένης εκτέλεσης κώδικα (RCE).
Αυτό το σφάλμα ασφαλείας οφείλεται σε ένα
παράκαμψη ελέγχου ταυτότητας
αδυναμία που μπορούν να εκμεταλλευτούν οι εισβολείς για να αποκτήσουν πρόσβαση σε εμπιστευτικά δεδομένα ή να εκτελέσουν αυθαίρετο κώδικα εξ αποστάσεως σε ευάλωτους διακομιστές σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη.
Η εταιρεία μπάλωσε επίσης ένα
διάβαση μονοπατιού
ευπάθεια στο λογισμικό απομακρυσμένης επιφάνειας εργασίας, το οποίο μπορεί να γίνει κατάχρηση μόνο από εισβολείς με υψηλά προνόμια.
“Τα τρωτά σημεία αναφέρθηκαν στις 13 Φεβρουαρίου 2024, μέσω του καναλιού μας αποκάλυψης ευπάθειας μέσω του Κέντρου εμπιστοσύνης ConnectWise,” ConnectWise
προειδοποίησε
.
«Δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι αυτά τα τρωτά σημεία έχουν εκμεταλλευτεί στην άγρια φύση, αλλά πρέπει να ληφθούν άμεσα μέτρα από τους επί τόπου συνεργάτες για την αντιμετώπιση αυτών των εντοπισμένων κινδύνων ασφαλείας».
Η ConnectWise δεν έχει ακόμη εκχωρήσει αναγνωριστικά CVE στα δύο ελαττώματα ασφαλείας που επηρεάζουν όλους τους διακομιστές που εκτελούν το ScreenConnect 23.9.7 και παλαιότερες.
Ενώ οι διακομιστές cloud ScreenConnect που φιλοξενούνται στο cloud screenconnect.com ή στο hostedrmm.com είναι ήδη ασφαλισμένοι από πιθανές επιθέσεις, συνιστάται στους διαχειριστές που χρησιμοποιούν λογισμικό εσωτερικής εγκατάστασης
να ενημερώσουν τους διακομιστές τους
στην έκδοση ScreenConnect 23.9.8 αμέσως.
Ερευνητές ασφάλειας Huntress
έχουν αναφερθεί
νωρίτερα
σήμερα
ότι έχουν ήδη δημιουργήσει ένα
exploit
proof-of-concept (PoC) που μπορεί να χρησιμοποιηθεί για να παρακάμψει τον έλεγχο ταυτότητας σε μη επιδιορθωμένους διακομιστές ScreenConnect.
Ο Huntress πρόσθεσε ότι μια αναζήτηση στην πλατφόρμα διαχείρισης έκθεσης Censys τους επέτρεψε να βρουν περισσότερους από 8.800 διακομιστές ευάλωτους σε επιθέσεις.
Ο Shodan κάνει επίσης κομμάτια
πάνω από 7.600 διακομιστές ScreenConnect
με μόνο 160 επί του παρόντος να εκτελούν την ενημέρωση κώδικα
Έκδοση ScreenConnect 23.9.8
.
Διακομιστές ScreenConnect προσβάσιμοι μέσω Διαδικτύου (Shodan)
Τον περασμένο μήνα, η CISA, η NSA και η MS-ISAC εξέδωσαν μια κοινή συμβουλευτική προειδοποίηση ότι οι εισβολείς χρησιμοποιούν όλο και περισσότερο το νόμιμο λογισμικό απομακρυσμένης παρακολούθησης και διαχείρισης (RMM) όπως το ConnectWise ScreenConnect για κακόβουλους σκοπούς.
Χρησιμοποιώντας λογισμικό απομακρυσμένης επιφάνειας εργασίας ως σημείο εισόδου στα δίκτυα των στόχων τους, οι φορείς απειλών μπορούν να έχουν πρόσβαση στα συστήματά τους ως τοπικοί χρήστες χωρίς να απαιτούν δικαιώματα διαχειριστή ή νέες πλήρεις εγκαταστάσεις λογισμικού.
Αυτό τους επιτρέπει να παρακάμψουν τους ελέγχους ασφαλείας και να αποκτήσουν πρόσβαση σε άλλες συσκευές στο δίκτυο εκμεταλλευόμενοι τα δικαιώματα του παραβιασμένου χρήστη.
Οι εισβολείς χρησιμοποιούν το ScreenConnect για κακόβουλους σκοπούς εδώ και χρόνια, συμπεριλαμβανομένης της κλοπής δεδομένων και της ανάπτυξης ωφέλιμων φορτίων ransomware σε συστήματα που έχουν παραβιαστεί από τα θύματα.
Πιο πρόσφατα, η Huntress εντόπισε επίσης παράγοντες απειλών που χρησιμοποιούν τοπικά στιγμιότυπα ScreenConnect για μόνιμη πρόσβαση σε δίκτυα που έχουν παραβιαστεί.
VIA:
bleepingcomputer.com
