https://www.informationsecurity.com.tw/Seminar/2024_PaloAlto/
https://www.informationsecurity.com.tw/Seminar/2024_PaloAlto/

新聞

Mandiant、Sophos示警ConnectWise ScreenConnect漏洞遭部署勒索軟體

2024 / 02 / 26
編輯部
Mandiant、Sophos示警ConnectWise ScreenConnect漏洞遭部署勒索軟體
ConnectWise ScreenConnect是一個由伺服器和用戶的應用程式端組成的遠端桌面解決方案。可以由雲端或本地進行部署。
 
上週ConnectWise公告修補完成CVE-2024-1709, CVE-2024-1708漏洞,這兩個漏洞影響23.9.7版及更早的版本。
  • CVE-2024-1709是一個身份驗證繞過漏洞,允許攻擊者在未修補的設備或服務上建立系統管理員帳戶,並用於惡意目的。
  • CVE-2024-1708是一個路徑穿越漏洞,允許攻擊者遠端執行程式碼。
ConnectWise公司已確認這兩個漏洞已遭攻擊者利用,目前推出了新的伺服器軟體版本:v23.9.10.8817和v22.4,所有用戶,包含不再維護的用戶,都可以獲得這兩個漏洞的修補程式 。
 
CVE-2024-1709的PoC公開後,惡意攻擊者開始針對易受攻擊的公開ScreenConnect伺服器,希望利用它們進入企業網路。

Mandiant已經確定多個威脅行為者正在大規模利用這些漏洞,其中許多攻擊已部署勒索軟體並進行多方面的勒索。

Sophos X-Ops表示,攻擊者遞送兩種不同的勒索軟體變體,都是由先前洩露的LockBit產生器生成。同時也發現透過ScreenConnect漏洞派送資料竊取器、RAT、蠕蟲、Cobalt Strike 載荷。
外媒報導,部分研究人員還發現了一些攻擊,涉及到加密貨幣採礦和建立SSH後門和持久反向Shell。

Sophos X-Ops強調,任何使用ScreenConnect的人都應立即採取措施隔離易受攻擊的伺服器和用戶端、修補它們並檢查是否有任何入侵跡象。Sophos有證據顯示攻擊者目前正對伺服器和客戶進行攻擊。修補伺服器不會刪除攻擊者在修補之前已經部署的任何惡意軟體或Webshell,管理者需要調查任何受入侵的環境。

本文轉載自helpnetsecurity。