Хакери атакуват активно критична уязвимост
ConnectWise предизвестиха за засечени от тях офанзиви към неотдавна запушена накърнимост в ScreenConnect. Специалисти предизвестяват, че уязвимостта може скоро да стартира да се нападна и от рансъмуер групи. Откритите уязвимости са две – CVE-2024-1709 и CVE-2024-1708, като първата е тази, която тормози специалистите.
CVE-2024-1709 се явява сериозна накърнимост в известния програмен продукт за отдалечена администрация. Успешната употреба на уязвимостта разрешава неоторизирано превъзмогване на удостоверяването и осъществяването на случаен код по отдалечен път. Експлоатирането на CVE-2024-1709 не изисква деяние от страна на жертвата, а сложността на осъществяване на офанзивата е избрана за „ ниска “. Това се явява и повода уязвимостта да получи оценка на риска 10.0/10.
На 13-ти този месец ScreenConnect получават отчет, който им оповестява за налична накърнимост в последната версия на ConnectWise. Седмица по-късно, на 19-ти, компанията издава актуализация за CVE-2024-1709 (с версия 23.9.10.8817). От ScreenWise споделят, че нямат информация да е била атакувана уязвимостта до тази дата.
Още на идващия ден обаче компанията издава специфичен бюлетин, в който пишат за регистрирани от тях опити за офанзива. Насърчават се всички, които управляват местни инстанции на ScreenConnect да обновят допустимо по-скоро. Опитите за офанзива се удостоверяват по-късно и от Кайл Ханслован, изпълнителен шеф на Huntress. Той се базира на лични източници, съгласно които хакери, и по-точно брокери на първичен достъп са почнали да нападат CVE-2024-1709. Брокерите на първичен достъп (initial access brokers, IABs) се явяват хакери, които са профилирани в обезпечаването си на нелигитимен достъп в системи и последвалата продажба на този достъп на други киберпрестъпници. Много постоянно това са рансъмуер групи и точно за това предизвестява Ханслован.
„ Популярността на този програмен продукт и достъпа, обезпечаван от тази накърнимост алармира, че сме на ръба на рансъмуер стихия. Болници, сериозна инфраструктура и държавните институции са потвърден риск “, споделя за Infosecurity-Magazine Ханслован. „ Чрез програмен продукт за далечен достъп неприятните могат да доставят рансъмуер с лекотата, с която положителните доставят актуализации. И когато хакерите стартират да доставят криптиращите си стратегии, мога да направя залог с 90% сигурност, че софтуера, който би трябвало да ги спре, няма да реагира, тъй като ще идват от приближен източник “.
Ханслован надали го споделя тъй като търси сензация. Вчера от Shadowserver Foundation споделиха, че към 20.02.2024 година 93% от локалните инстанции на Screenconnect, които са сканирали са уязвими.
