Vulnerabilità ad alto rischio in ConnectWise ScreenConnect

01/03/2024

Il 19 febbraio 2024, ConnectWise ha reso note due vulnerabilità nel loro software di accesso remoto ScreenConnect. Entrambe le vulnerabilità interessano ScreenConnect 23.9.7 e versioni precedenti. Al momento della divulgazione, nessuna delle due vulnerabilità aveva un CVE assegnato, ma dal 21 febbraio sono stati assegnati CVE a entrambi i problemi menzionati nell’avviso di ConnectWise:

CVE-2024-1709: Un bypass di autenticazione utilizzando un percorso o un canale alternativo (CVSS 10)
CVE-2024-1708: Un problema di attraversamento del percorso (CVSS 8.4)

ScreenConnect è un software di accesso remoto popolare utilizzato da molte organizzazioni in tutto il mondo; è stato anche usato in passato da avversari. Sembra che ci siano più di 7.500 istanze di ScreenConnect esposte su Internet pubblico. Le vulnerabilità non erano note per essere state sfruttate nell’ambiente al momento della divulgazione, ma dalla sera del 20 febbraio, ConnectWise ha indicato di aver confermato compromissioni derivanti dall’exploit di queste vulnerabilità. Anche Rapid7 Managed Detection and Response (MDR) ha osservato l’exploit riuscito in ambienti clienti.

I media di sicurezza e i fornitori di sicurezza stanno lanciando forti allarmi sulle vulnerabilità di ScreenConnect, principalmente a causa del potenziale per gli attaccanti di sfruttare le istanze di ScreenConnect vulnerabili per poi diffondere ransomware ai clienti downstream. Questo potrebbe essere una preoccupazione particolare per i fornitori di servizi gestiti (MSP) o i fornitori di servizi di sicurezza gestiti (MSSP) che utilizzano ScreenConnect per gestire remotamente gli ambienti dei clienti.

Guida alla mitigazione dei rischi

Tutte le versioni di ConnectWise ScreenConnect precedenti alla 23.9.8 sono vulnerabili a queste problematiche (senza CVE). I clienti che dispongono di istanze on-premise di ScreenConnect nei propri ambienti dovrebbero applicare l’aggiornamento alla versione 23.9.8 su base di emergenza, secondo le indicazioni di ConnectWise. Il fornitore ha inoltre pubblicato diversi indicatori di compromissione (IOCs) nella loro avvisoria che le organizzazioni possono cercare. Rapid7 raccomanda vivamente di cercare segni di compromissione anche dopo l’applicazione della patch.

ConnectWise ha inoltre rimosso le restrizioni di licenza per consentire ai partner di aggiornare ai sistemi supportati, e ha aggiornato la loro avvisoria per annotare quanto segue: “ConnectWise ha implementato un passaggio aggiuntivo di mitigazione per gli utenti on-premise non patchati che sospende un’istanza se non è sulla versione 23.9.8 o successiva. Se la tua istanza viene trovata su una versione non aggiornata, verrà inviato un avviso con istruzioni su come eseguire le azioni necessarie per rilasciare il server.”

I clienti di Rapid7:

I clienti di InsightVM e Nexpose possono valutare la propria esposizione a queste vulnerabilità con controlli di vulnerabilità autenticati disponibili nel rilascio dei contenuti del 21 febbraio.
I clienti di InsightIDR e Managed Detection and Response hanno una copertura di rilevamento esistente attraverso l’ampia libreria di regole di rilevamento di Rapid7. Rapid7 consiglia di installare l’Insight Agent su tutti gli host applicabili per garantire la visibilità dei processi sospetti e una corretta copertura di rilevamento. Di seguito è riportato un elenco non esaustivo di rilevamenti implementati e allerta sull’attività correlata a queste vulnerabilità:

– Richieste Web Sospette – Possibile Sfruttamento di ConnectWise ScreenConnect
– Tecnica dell’Attaccante – Accesso Remoto tramite ScreenConnect
– Tecnica dell’Attaccante – Esecuzione di Comandi tramite ScreenConnect
– Processo Sospetto – ScreenConnect con Argomento RunRole
– Tecnica dell’Attaccante – Sfruttamento di ConnectWise ScreenConnect per Aggiungere un Nuovo Utente

Nota: Affinché Rapid7 possa avvisare sulla regola  Attacker Technique: ConnectWise ScreenConnect Exploit Adding a New User, i clienti dovranno assicurarsi che le  Advanced Security Audit Policy Settings for Kernel Object siano configurate per registrare l’Evento WindowsID 4663 e impostare un SACL sulla directory di ScreenConnect. Ulteriori informazioni su come configurare la Politica di Audit Avanzata sono disponibili qui.

Un artefatto Velociraptor è disponibile qui per assistere nella ricerca degli indicatori di compromissione. Un modulo Metasploit è disponibile qui (in attesa di un’ultima versione e rilascio).

Aggiornamenti

  • February 21, 2024: Aggiornato per includere i CVE (CVE-2024-1708, CVE-2024-1709) e per annotare lo sfruttamento nell’ambiente selvaggio. Rapid7 MDR ha anche osservato lo sfruttamento negli ambienti dei clienti. Aggiornato con la disponibilità di controlli di vulnerabilità per i clienti di InsightVM e Nexpose.
  • February 22, 2024: Aggiunta nuova regola di rilevamento per i clienti di InsightIDR e MDR (Tecnica dell’Attaccante: sfruttamento di ConnectWise ScreenConnect per aggiungere un nuovo utente)
  • February 23, 2024: Artefatto Velociraptor ora disponibile, modulo Metasploit in fase di sviluppo. Sono stati aggiunti cambiamenti alle linee guida dell’avviso di ConnectWise alla sezione Indicazioni per la mitigazione di questo blog.

Articolo originale

Scopri la pagina del vendor sul nostro sito

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI

Quali sono i vantaggi di una API anti-phishing?

Quali sono i vantaggi di una API anti-phishing?

Gli esseri umani sono l’anello più debole e il phishing sfrutta l’errore umano. Gli autori di phishing inducono un senso di urgenza nei destinatari, quindi i dipendenti sono spesso costretti a compiere azioni dubbie senza pensare alle conseguenze. Il risultato è...

Come cercare malware UEFI utilizzando Velociraptor

Come cercare malware UEFI utilizzando Velociraptor

Le minacce UEFI sono storicamente limitate in numero e per lo più implementate da attori statali come persistenza furtiva. Tuttavia, la recente proliferazione di Black Lotus sul dark web, il modulo di enumerazione Trickbot (fine 2022) e Glupteba (novembre 2023) indica...