Dalış Özeti:
- Black Basta ve Bloody Ransomware’in de aralarında bulunduğu suç teşkil eden tehdit grupları, ConnectWise ScreenConnect’teki kritik güvenlik kusurlarından yararlanmayı artırıyor. Trend Micro’daki araştırmacılar Salı dedi.
- Güvenlik açıkları arasında şu şekilde listelenen bir kimlik doğrulama atlama güvenlik açığı bulunmaktadır: CVE-2024-1709 Araştırmacıların yararlanılması “önemsiz” olarak tanımladığı CVSS puanı 10’dur. Bilgisayar korsanlarının keşif yaptığı, verileri çaldığı ve fidye yazılımı dağıttığı gözlemlendi. Black Basta bağlı birliklerinin Kobalt Saldırısı işaretlerini yerleştirdiği gözlemlendi.
- Çeşitli tehdit grupları da LockBit fidye yazılımını dağıtıyordu. Sophos araştırmacıları geçen hafta söyledi.
Dalış Bilgisi:
Araştırmacılar, ConnectWise SecureConnect güvenlik açıklarının kötüye kullanılmasının son aylarda ortaya çıkan en ciddi kampanyalardan biri olduğu konusunda uyarıyor.
“Bu güvenlik açığına yönelik tehdit faaliyetinin istikrarlı bir hızla devam ettiğini görüyoruz” Greg Young, Başkan Yardımcısı, Siber Güvenlik ve Kurumsal Gelişim, Trend Micro.
Young, tehdit gruplarının ve araştırmacıların muhtemelen bir kavram kanıtını test etmeye başlamasıyla birlikte istismarın 22 Şubat’tan itibaren artmaya başladığını söyledi.
Trend Micro araştırmacıları, 1.500’den fazlası ABD’de olmak üzere dünya çapında yaklaşık 2.300 savunmasız sunucu görüyor
ConnectWise ilk olarak 19 Şubat’ta bir yama yayınladı Bağımsız bir araştırmacının 13 Şubat’ta şirkete güvenlik açığı hakkında bilgi vermesinin ardından şirket içi SecureConnect müşterileri için.
Siber Güvenlik ve Altyapı Güvenliği Ajansı 22 Şubat’ta şunu ekledi: CVE-2024-1709ConnectWise’ın ajansı CVE hakkında bilgilendirmesinden kısa bir süre sonra, geçen hafta Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğuna eklendi. Daha az ciddi bir yol geçiş güvenlik açığı olarak listelenmiştir: CVE-2024-1708bu listeye dahil edilmedi.
ConnectWise, şirket içi müşterilerini defalarca yazılımın 23.9.8 sürümüne yükseltmeye çağırdı.
Şirket Cuma günü başlangıçta güvenlik açıkları ile kötü niyetli tehdit faaliyetleri arasında herhangi bir doğrudan bağlantı olduğunu reddetti, ancak ConnectWise daha sonra gözlemlenen tehdit faaliyetinin güvenlik kusurlarıyla ilgili olduğunu doğruladı.
ConnectWise: yamalı sürümlerin sağlanması Uygulamanın güncel olmayan sürümlerini kullanan müşterilere.
Gelişmiş bilgisayar korsanları, artık teknik destek ve güvenlik yükseltmeleri sağlanmayan eski uygulamaları kullanan hizmet dışı kullanıcıları sıklıkla hedef alıyor.