A ConnectWise ScreenConnect támadások
A Sophos X-Ops jelentése szerint több támadás is kihasználja egy informatikai távoli hozzáférési eszköz sebezhetőségét, hogy különböző hasznos terheléseket juttasson el az üzleti környezetekbe.
2024. február 19-én a ConnectWise biztonsági tanácsadást adott ki a távfelügyeleti és -kezelési (RMM) szoftveréhez. A tanácsadásuk két sebezhetőséget emelt ki, amelyek a ScreenConnect régebbi verzióit érintik, és amelyeket a 23.9.8-as és újabb verziókban már javítottak. A ConnectWise a tanácsadásban azt állítja, hogy ezek a sebezhetőségek kritikus sebezhetőségek, amelyek lehetővé tehetik távoli kód futtatását, illetve bizalmas adatok vagy kritikus rendszerek közvetlen befolyásolását.
Mióta a héten megjelentek a ScreenConnect sebezhetőségéről szóló hírek, a Sophos elemzői szorosan figyelemmel kísérik a telemetriai rendszereket, és keresnek minden olyan rendellenes vagy rosszindulatú viselkedést, amelyben a ScreenConnect kliens- vagy kiszolgálószoftver volt a kiváltó ok, vagy valamilyen módon része volt a támadási láncnak. Mielőtt ez a sérülékenység széles körben ismertté vált volna, mérsékelt számú napi telemetriai bejegyzés érkezett, amelyekben a fenyegetés szereplői megpróbáltak rosszindulatú programokat telepíteni vagy rosszindulatú parancsokat futtatni a ScreenConnectet futtató ügyfélgépen. Február 21. óta azonban a ScreenConnect-et érintő telemetriai események napi mennyisége több mint kétszeresére nőtt.
A sérülékenységeket kihasználta a LockBit, az AsyncRAT, a Vidar/Redline stealer, a Rust infostealer, a Cobalt Strike, az Xworm is.
A Sophos javaslatot tesz a kockázatok csökkentésére és megosztotta az azonosításhoz szükséges mutatókat.