Продължават атаките към уязвимостта в ScreenConnect
След брокери на данни за достъп и LockBit, и други рансъмуер групи започнаха да нападат CVE-2024-1709 сериозната накърнимост в ScreenConnect.
По-рано този месец ви разказахме за откриването и запушването на сериозна накърнимост в известен програмен продукт за отдалечена администрация. Ставаше дума за ScreenConnect на компанията ScreenWise. Броени часове след издаването на актуализацията, ScreenWise сигнализираха за регистрирани от тях опити за офанзива към казуса. Специалист по сигурност дори предизвести, че евентуално се задава стихия на хоризонта. И може да не е надалеч от истината.
Самият проблем – CVE-2024-1709 – се явява сериозна накърнимост, позволяваща поемането на цялостен надзор над уязвимата инстанция. Експлоатирането ѝ се дефинира от експертите за относително просто, а от атакуваната страна не се изисква деяние – отваряне на атачмънт, последване на хиперлинк и сходни. Това е и повода нейната сдържаност да бъде избрана като 10.0/10. В същото време ScreenWise взеха нетрадиционното решение да разрешат и ScreenConnect съоръжения без лиценз да получат по този начин нужната актуализация.
Скоро по-късно в офанзивите се включиха LockBit – печално известната рансъмуер група, която сякаш беше разрушена неотдавна. Положението се утежни с появяването на създадени от запалянковци PoC кодове, валидиращи казуса. И да, този код скоро беше трансфорат в подготвени експлойти. А в този момент тук се появяват и други рансъмуер банди. Става дума за Black Basta и Bl00dy, които следват сътрудниците си от LockBit, за което предава Trend Micro.
Двете киберпрестъпни групи нападат интензивно ScreenConnect с разнообразни подходи. Те експлоатират уязвимостта, след което се придвижват в мрежата на жертвата, осигурявайки си нараснали привилегии и дългогодишен достъп. Освен това, има в случаи, в които към тези мрежи се доставя и интернет червей от фамилията на XWorm, притежаващ рансъмуер качества.
Bleeping Computer употребяват Shodan, с цел да ревизират какъв брой ScreenConnect сървъра могат да се открият онлайн. Според изследването им става дума за над 10 000 съоръжения по целия свят, като малко над 1500 са с последната версия на ScreenConnect. По-голямата част от тези сървъри са в Съединени американски щати, само че също в Южна Африка, Англия, Австралия, Франция, Унгария и други
