„Ich kann es nicht beschönigen – dieser Scheiß ist schlecht“, sagte der CEO von Huntress
Sicherheitsexperten sind Warnung, dass eine hochriskante Schwachstelle in einem weit verbreiteten Fernzugriffstool „trivial und peinlich einfach“ auszunutzen sei, da der Entwickler der Software bestätigt, dass böswillige Hacker die Schwachstelle aktiv ausnutzen.
Die Schwachstelle mit dem höchsten Schweregrad betrifft ConnectWise ScreenConnect (ehemals ConnectWise Control), eine beliebte Fernzugriffssoftware, die es verwalteten IT-Anbietern und Technikern ermöglicht, technischen Fernsupport in Echtzeit auf Kundensystemen bereitzustellen.
Bei der Schwachstelle handelt es sich um eine Schwachstelle zur Authentifizierungsumgehung, die es einem Angreifer ermöglichen könnte, aus der Ferne vertrauliche Daten von anfälligen Servern zu stehlen oder bösartigen Code, beispielsweise Malware, einzusetzen. Die Sicherheitslücke wurde erstmals am 13. Februar an ConnectWise und das Unternehmen gemeldet Details des Fehlers in einem Sicherheitshinweis öffentlich bekannt gegeben veröffentlicht am 19. Februar.
ConnectWise sagte zunächst, dass es keine Hinweise auf eine öffentliche Ausbeutung gebe, wies jedoch in einem Update vom Dienstag darauf hin, dass ConnectWise bestätigt habe, dass es „Aktualisierungen von kompromittierten Konten erhalten habe, die unser Vorfallreaktionsteam untersuchen und bestätigen konnte“.
Das Unternehmen teilte außerdem drei IP-Adressen mit, die seiner Aussage nach „kürzlich von Bedrohungsakteuren verwendet wurden“.
Auf Nachfrage von Tech lehnte ConnectWise-Sprecherin Amanda Lee ab, zu sagen, wie viele Kunden betroffen sind, stellte jedoch fest, dass ConnectWise „begrenzte Berichte“ über mutmaßliche Einbrüche vorliegen. Lee fügte hinzu, dass 80 % der Kundenumgebungen cloudbasiert seien und innerhalb von 48 Stunden automatisch gepatcht würden.
Auf die Frage, ob ConnectWise Kenntnis von einer Datenexfiltration hat oder ob das Unternehmen über die Möglichkeit verfügt, festzustellen, ob auf Daten zugegriffen wurde, antwortete Lee: „Uns wurde keine Datenexfiltration gemeldet.“
Das in Florida ansässige Unternehmen ConnectWise stellt seine Fernzugriffstechnologie mehr als einer Million kleiner und mittlerer Unternehmen zur Verfügung, heißt es auf seiner Website.
Cybersicherheitsunternehmen Huntress am Mittwoch veröffentlichte eine Analyse der aktiv ausgenutzten ConnectWise-Schwachstelle. Der Sicherheitsforscher von Huntress, John Hammond, sagte gegenüber Tech, dass Huntress sich der „aktuellen und aktiven“ Ausnutzung bewusst sei und erste Anzeichen dafür sehe, dass Bedrohungsakteure zu „zielgerichteteren Nachausnutzungs- und Persistenzmechanismen“ übergehen.
„Wir sehen, dass Angreifer bereits Cobalt Strike-Beacons einsetzen und sogar einen ScreenConnect-Client auf dem betroffenen Server selbst installieren“, sagte Hammond und verwies auf das beliebte Exploit-Framework Cobalt Strike, das sowohl von Sicherheitsforschern zu Testzwecken verwendet als auch von böswilligen Hackern zum Einbruch missbraucht wird Netzwerke. „Wir können in naher Zukunft mit weiteren dieser Kompromisse rechnen.“
Kyle Hanslovan, CEO von Huntress, fügte hinzu, dass die eigenen Kundentelemetriedaten von Huntress Einblick in mehr als 1.600 anfällige Server geben.
„Ich kann es nicht beschönigen – dieser Scheiß ist schlecht. „Wir sprechen von mehr als zehntausend Servern, die Hunderttausende Endpunkte steuern“, sagte Hanslovan gegenüber Tech und stellte fest, dass mehr als 8.800 ConnectWise-Server weiterhin anfällig für Ausnutzung sind.
Hanslovan fügte hinzu, dass wir aufgrund der „schieren Verbreitung dieser Software und des durch diese Sicherheitslücke ermöglichten Zugriffssignals an der Schwelle zu einer Ransomware stehen, die für alle frei ist.“
ConnectWise hat einen Patch für die aktiv ausgenutzte Sicherheitslücke veröffentlicht und fordert Benutzer von ScreenConnect vor Ort auf, den Fix sofort anzuwenden. ConnectWise hat außerdem einen Fix für eine separate Schwachstelle veröffentlicht, die seine Remote-Desktop-Software betrifft. Lee sagte gegenüber Tech, dass das Unternehmen keine Beweise dafür gesehen habe, dass dieser Fehler ausgenutzt wurde.
Anfang dieses Jahres warnten die US-Regierungsbehörden CISA und die National Security Agency, dass sie eine „weit verbreitete Cyberkampagne mit dem böswilligen Einsatz legitimer Remote Monitoring and Management (RMM)-Software“ – darunter ConnectWise SecureConnect – beobachtet hätten, die auf mehrere zivile Exekutivorgane des Bundes abzielte Agenturen.
Die US-Behörden beobachteten auch Hacker, die die Fernzugriffssoftware von AnyDesk missbrauchten, das Anfang des Monats gezwungen war, Passwörter zurückzusetzen und Zertifikate zu widerrufen, nachdem es Beweise für kompromittierte Produktionssysteme gefunden hatte.
Als Antwort auf Anfragen von Tech sagte Eric Goldstein, stellvertretender Direktor für Cybersicherheit bei CISA: „CISA ist sich einer gemeldeten Schwachstelle bewusst, die sich auf ConnectWise ScreenConnect auswirkt, und wir arbeiten daran, die mögliche Ausnutzung zu verstehen, um die notwendige Anleitung und Unterstützung bereitzustellen.“
Sind Sie von der ConnectWise-Sicherheitslücke betroffen? Sie können Carly Page sicher über Signal unter +441536 853968 oder per E-Mail unter kontaktieren [email protected]. Sie können Tech auch über kontaktieren SecureDrop.