Sicherheitsforscher sagen, dass zwei leicht auszunutzende Schwachstellen in einem beliebten Fernzugriffstool, das von mehr als einer Million Unternehmen auf der ganzen Welt verwendet wird, jetzt massenhaft ausgenutzt werden, wobei Hacker die Schwachstellen ausnutzen, um Ransomware einzusetzen und sensible Daten zu stehlen.
Der Cybersicherheitsriese Mandiant sagte in einem Beitrag am Freitag dass es eine „massenhafte Ausnutzung“ der beiden Schwachstellen in ConnectWise ScreenConnect festgestellt hat, einem beliebten Fernzugriffstool, das es IT-Abteilungen und Technikern ermöglicht, technischen Support aus der Ferne direkt auf Kundensystemen über das Internet bereitzustellen.
Bei den beiden Sicherheitslücken handelt es sich um CVE-2024-1709, eine Schwachstelle zur Authentifizierungsumgehung, die von Forschern als „peinlich einfach“ für Angreifer ausgenutzt werden konnte, und CVE-2024-1708, eine Path-Traversal-Schwachstelle, die es Hackern ermöglicht, aus der Ferne bösartigen Code wie Malware einzuschleusen. auf anfälligen ConnectWise-Kundeninstanzen.
ConnectWise enthüllte die Mängel erstmals am 19. Februar und forderte On-Premise-Kunden auf, Sicherheitspatches sofort zu installieren. Dennoch bleiben Tausende von Servern angreifbar, nach Angaben der Shadowserver Foundationund jeder dieser Server kann bis zu 150.000 Kundengeräte verwalten.
Mandiant sagte, es habe „verschiedene Bedrohungsakteure“ identifiziert, die die beiden Schwachstellen ausnutzten, und warnte, dass „viele von ihnen Ransomware einsetzen und vielfältige Erpressungen durchführen werden“, ordnete die Angriffe jedoch keinen bestimmten Bedrohungsgruppen zu.
Das sagte das finnische Cybersicherheitsunternehmen WithSecure ein Blogbeitrag Am Montag gaben die Forscher außerdem bekannt, dass mehrere Bedrohungsakteure eine „massenhafte Ausnutzung“ der ScreenConnect-Schwachstellen beobachtet haben. WithSecure sagte, dass diese Hacker die Schwachstellen ausnutzen, um Passwortdiebstahler, Hintertüren und in einigen Fällen Ransomware einzusetzen.
WithSecure sagte, es habe auch Hacker beobachtet, die die Schwachstellen ausnutzten, um eine Windows-Variante der KrustyLoader-Hintertür auf ungepatchten ScreenConnect-Systemen einzusetzen, die gleiche Art von Hintertür, die von Hackern kürzlich installiert wurde, die Schwachstellen in der Unternehmens-VPN-Software von Ivanti ausnutzten. WithSecure sagte, es könne die Aktivität noch nicht einer bestimmten Bedrohungsgruppe zuordnen, obwohl andere die früheren Aktivitäten mit einer von China unterstützten Hackergruppe in Verbindung gebracht haben, die sich auf Spionage konzentriert.
Sicherheitsforscher von Sophos und Huntress sagten beide letzte Woche, sie hätten beobachtet, wie die LockBit-Ransomware-Bande Angriffe startete, die die ConnectWise-Schwachstellen ausnutzten – nur wenige Tage nachdem eine internationale Strafverfolgungsoperation behauptet hatte, die Operationen der berüchtigten mit Russland verbundenen Cyberkriminalitätsbande gestört zu haben.
Jägerin sagte in seiner Analyse dass seitdem beobachtet wurde, dass „eine Reihe von Angreifern“ Exploits nutzen, um Ransomware einzusetzen, und dass eine „erhebliche Anzahl“ von Angreifern, die Exploits verwenden, Kryptowährungs-Mining-Software einsetzen, zusätzliche „legitime“ Fernzugriffstools installieren, um dauerhaften Zugriff auf das Netzwerk eines Opfers aufrechtzuerhalten, und Erstellen Sie neue Benutzer auf kompromittierten Computern.
Es ist noch nicht bekannt, wie viele ConnectWise ScreenConnect-Kunden oder Endbenutzer von diesen Schwachstellen betroffen sind, und ConnectWise-Sprecher antworteten nicht auf die Fragen von Tech. Auf der Website des Unternehmens heißt es, dass die Organisation ihre Fernzugriffstechnologie mehr als einer Million kleiner und mittlerer Unternehmen zur Verfügung stellt, die über 13 Millionen Geräte verwalten.
Am Sonntag sagte ConnectWise ein für Montag geplantes Interview zwischen Tech und seinem CISO Patrick Beggs ab. Einen Grund für die kurzfristige Absage nannte ConnectWise nicht.
Sind Sie von der ConnectWise-Sicherheitslücke betroffen? Sie können Carly Page sicher über Signal unter +441536 853968 oder per E-Mail unter [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.