本文擷取自資安人
ConnectWise ScreenConnect是一個由伺服器和用戶的應用程式端組成的遠端桌面解決方案。可以由雲端或本地進行部署。
上週ConnectWise公告修補完成CVE-2024-1709, CVE-2024-1708漏洞,這兩個漏洞影響23.9.7版及更早的版本。
- CVE-2024-1709是一個身份驗證繞過漏洞,允許攻擊者在未修補的設備或服務上建立系統管理員帳戶,並用於惡意目的。
- CVE-2024-1708是一個路徑穿越漏洞,允許攻擊者遠端執行程式碼。
CVE-2024-1709的PoC公開後,惡意攻擊者開始針對易受攻擊的公開ScreenConnect伺服器,希望利用它們進入企業網路。
Mandiant已經確定多個威脅行為者正在大規模利用這些漏洞,其中許多攻擊已部署勒索軟體並進行多方面的勒索。
Sophos X-Ops表示,攻擊者遞送兩種不同的勒索軟體變體,都是由先前洩露的LockBit產生器生成。同時也發現透過ScreenConnect漏洞派送資料竊取器、RAT、蠕蟲、Cobalt Strike 載荷。
外媒報導,部分研究人員還發現了一些攻擊,涉及到加密貨幣採礦和建立SSH後門和持久反向Shell。
Sophos X-Ops強調,任何使用ScreenConnect的人都應立即採取措施隔離易受攻擊的伺服器和用戶端、修補它們並檢查是否有任何入侵跡象。Sophos有證據顯示攻擊者目前正對伺服器和客戶進行攻擊。修補伺服器不會刪除攻擊者在修補之前已經部署的任何惡意軟體或Webshell,管理者需要調查任何受入侵的環境。