เพียงไม่กี่วันหลังจากรายงานการแสวงหาผลประโยชน์เริ่มแรกเริ่มเข้ามาเป็นเวลา ช่องโหว่ด้านความปลอดภัยที่สำคัญใน ConnectWise ScreenConnect บริการการจัดการเดสก์ท็อประยะไกล นักวิจัยเตือนว่าการโจมตีห่วงโซ่อุปทานในสัดส่วนที่เกินขนาดอาจพร้อมที่จะปะทุขึ้น
เมื่อข้อบกพร่องถูกนำไปใช้ประโยชน์ แฮกเกอร์จะสามารถเข้าถึงระยะไกลใน "เซิร์ฟเวอร์นับหมื่นที่ควบคุมจุดสิ้นสุดนับแสน" ซีอีโอของ Huntress Kyle Hanslovan กล่าวในความเห็นทางอีเมล โดยให้ความเห็นว่าถึงเวลาแล้วที่จะต้องเตรียมพร้อมสำหรับ "เหตุการณ์ความปลอดภัยทางไซเบอร์ที่ใหญ่ที่สุดในปี 2024 ”
ScreenConnect สามารถใช้โดยฝ่ายสนับสนุนด้านเทคนิคและบุคคลอื่นเพื่อตรวจสอบสิทธิ์เครื่องเสมือนเป็นผู้ใช้ ด้วยเหตุนี้ จึงอาจทำให้ผู้คุกคามสามารถแทรกซึมเข้าไปในอุปกรณ์ปลายทางที่มีมูลค่าสูงและใช้ประโยชน์จากสิทธิพิเศษของพวกเขาได้
ที่แย่กว่านั้นคือ แอปพลิเคชันนี้ถูกใช้กันอย่างแพร่หลายโดยผู้ให้บริการที่ได้รับการจัดการ (MSP) เพื่อเชื่อมต่อกับสภาพแวดล้อมของลูกค้า ดังนั้นจึงสามารถเปิดประตูสู่ผู้แสดงภัยคุกคามที่ต้องการใช้ MSP เหล่านั้นสำหรับการเข้าถึงดาวน์สตรีมได้ เช่นเดียวกับ สึนามิโจมตีคาเซยะ ที่ธุรกิจต้องเผชิญในปี 2021
ConnectWise Bugs รับ CVE
ConnectWise เปิดเผยข้อบกพร่องเมื่อวันจันทร์โดยไม่มี CVE หลังจากนั้นช่องโหว่ Proof-of-Concept (PoC) ก็ปรากฏขึ้นอย่างรวดเร็ว เมื่อวันอังคาร ConnectWise เตือนว่าข้อบกพร่องดังกล่าวอยู่ภายใต้การโจมตีทางไซเบอร์ ภายในวันพุธ นักวิจัยหลายคนรายงานว่ามีกิจกรรมทางไซเบอร์ที่เพิ่มมากขึ้น
ขณะนี้ช่องโหว่มีการติดตาม CVE หนึ่งในนั้นคือบายพาสการตรวจสอบความถูกต้องระดับความรุนแรงสูงสุด (CVE-2024-1709, CVSS 10) ซึ่งอนุญาตให้ผู้โจมตีที่มีเครือข่ายเข้าถึงอินเทอร์เฟซการจัดการเพื่อสร้างบัญชีใหม่ระดับผู้ดูแลระบบบนอุปกรณ์ที่ได้รับผลกระทบ สามารถจับคู่กับจุดบกพร่องที่สอง ซึ่งเป็นปัญหาการข้ามเส้นทาง (CVE-2024-1708, CVSS 8.4) ที่อนุญาตการเข้าถึงไฟล์โดยไม่ได้รับอนุญาต
โบรกเกอร์การเข้าถึงขั้นต้นเพิ่มกิจกรรม
จากข้อมูลของ Shadowserver Foundation มีอินสแตนซ์ของแพลตฟอร์มที่มีช่องโหว่อย่างน้อย 8,200 รายการที่ถูกเปิดเผยต่ออินเทอร์เน็ตภายในการวัดและส่งข้อมูลทางไกล โดยส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา
“CVE-2024-1709 ถูกนำไปใช้อย่างกว้างขวางในป่า: 643 IPs ถูกโจมตีโดยเซ็นเซอร์ของเราจนถึงปัจจุบัน” กล่าวในโพสต์ LinkedIn.
นักวิจัยของฮันเทรสกล่าวว่าแหล่งข่าวในชุมชนข่าวกรองสหรัฐฯ บอกพวกเขาเช่นนั้น นายหน้าการเข้าถึงเบื้องต้น (IAB) ได้เริ่มตะครุบจุดบกพร่องเพื่อตั้งร้านค้าภายในจุดปลายทางต่างๆ โดยมีจุดประสงค์เพื่อขายการเข้าถึงกลุ่มแรนซัมแวร์นั้น
และแท้จริงแล้ว ในกรณีหนึ่ง Huntress สังเกตเห็นผู้โจมตีทางไซเบอร์ใช้ช่องโหว่ด้านความปลอดภัยเพื่อปรับใช้แรนซัมแวร์ให้กับรัฐบาลท้องถิ่น รวมถึงอุปกรณ์ปลายทางที่อาจเชื่อมโยงกับระบบ 911
“ความแพร่หลายที่แท้จริงของซอฟต์แวร์นี้และการเข้าถึงที่เกิดจากช่องโหว่นี้ ส่งสัญญาณว่าเราอยู่บนจุดสูงสุดของแรนซัมแวร์ที่ให้บริการฟรีสำหรับทุกคน” Hanslovan กล่าว “โรงพยาบาล โครงสร้างพื้นฐานที่สำคัญ และสถาบันของรัฐได้รับการพิสูจน์แล้วว่าตกอยู่ในความเสี่ยง”
เขากล่าวเสริม: “และเมื่อพวกเขาเริ่มผลักดันตัวเข้ารหัสข้อมูลของพวกเขา ฉันก็ยินดีที่จะเดิมพัน 90% ของซอฟต์แวร์ความปลอดภัยเชิงป้องกันจะไม่จับมันเพราะมันมาจากแหล่งที่เชื่อถือได้”
ในขณะเดียวกัน นักวิจัยของ Bitdefender ได้ยืนยันกิจกรรมดังกล่าว โดยสังเกตว่าผู้คุกคามกำลังใช้ส่วนขยายที่เป็นอันตรายเพื่อปรับใช้ตัวดาวน์โหลดที่สามารถติดตั้งมัลแวร์เพิ่มเติมบนเครื่องที่ถูกบุกรุกได้
“เราสังเกตเห็นการโจมตีที่อาจเกิดขึ้นหลายครั้งโดยใช้ประโยชน์จากโฟลเดอร์ส่วนขยายของ ScreenConnect [ในขณะที่เครื่องมือรักษาความปลอดภัย] แนะนำให้มีตัวดาวน์โหลดโดยอิงตามเครื่องมือในตัวของ certutil.exe” ตาม โพสต์ในบล็อกของ Bitdefender เกี่ยวกับกิจกรรมทางไซเบอร์ของ ConnectWise. “ผู้คุกคามมักใช้เครื่องมือนี้ … เพื่อเริ่มต้นการดาวน์โหลดเพย์โหลดที่เป็นอันตรายเพิ่มเติมไปยังระบบของเหยื่อ”
หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มข้อบกพร่องดังกล่าว แค็ตตาล็อกช่องโหว่ที่เป็นที่รู้จัก.
การบรรเทาผลกระทบสำหรับ CVE-2024-1709, CVE-2024-1708
เวอร์ชันภายในองค์กรจนถึงและรวมถึง 23.9.7 มีความเสี่ยง — ดังนั้นการป้องกันที่ดีที่สุดคือการระบุระบบทั้งหมดที่มีการปรับใช้ ConnectWise ScreenConnect และใช้แพตช์ที่ออกมาพร้อมกับ ScreenConnect เวอร์ชัน 23.9.8.
องค์กรควรคอยมองหาตัวบ่งชี้การประนีประนอม (IoC) ที่ระบุโดย ConnectWise ในคำแนะนำ นักวิจัยของ Bitdefender สนับสนุนการตรวจสอบโฟลเดอร์ “C:Program Files (x86)ScreenConnectApp_Extensions”; Bitdefender ตั้งค่าสถานะว่าไฟล์ .ashx และ .aspx ที่น่าสงสัยซึ่งจัดเก็บไว้ในรูทของโฟลเดอร์นั้นโดยตรงอาจบ่งบอกถึงการเรียกใช้โค้ดที่ไม่ได้รับอนุญาต
นอกจากนี้ อาจมีข่าวดีเกิดขึ้น: “ConnectWise ระบุว่าพวกเขาเพิกถอนใบอนุญาตสำหรับเซิร์ฟเวอร์ที่ไม่ได้รับการติดตั้ง และในขณะที่เรายังไม่ชัดเจนว่าเราทำงานอย่างไร แต่ดูเหมือนว่าช่องโหว่นี้ยังคงเป็นข้อกังวลหลักสำหรับทุกคนที่ใช้เวอร์ชันที่มีช่องโหว่หรือใครก็ตามที่ดำเนินการ ไม่ได้แพตช์อย่างรวดเร็ว” นักวิจัยของ Bitdefender กล่าวเสริม “นี่ไม่ได้หมายความว่าการกระทำของ ConnectWise ไม่ได้ผล เราไม่แน่ใจว่าสิ่งนี้เกิดขึ้นได้อย่างไรในเวลานี้”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
