Dalış Özeti:
- Güvenlik araştırmacılarına göre tehdit grupları, savunmasız ConnectWise ScreenConnect örneklerine karşı kötü niyetli etkinlikleri artırıyor. Sophos, LockBit fidye yazılımına karşı uyarıyor bağlı bilgisayar korsanları tarafından konuşlandırılıyor.
- Kritik bir kimlik doğrulama atlama güvenlik açığından yararlanılması, CVE-2024-1709yaygındır, buna göre Gölge sunucusu. İnternete açık 8.200’den fazla savunmasız örnek var ve 643 IP’nin saldırı başlattığı gözlemlendi.
- Siber Güvenlik ve Altyapı Güvenliği Ajansı Perşembe günü, CVSS puanı 10 olan kritik kusuru Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekledi. CVE’nin girişi, federal kuruluş için önemli bir riske işaret ediyor ve Federal Sivil Yürütme Organı kurumlarına hafifletici önlemleri almaları için bir son tarih veriyor.
Dalış Bilgisi:
Çok sayıda suç aktörü, ConnectWise ScreenConnect’teki kritik bir kusurdan yararlanmaya çalışıyor. şirket şirket içi kullanıcıları yama yapmaya çağırdı. Perşembe günü şirket, kullanıcılara 23.9.8 veya daha yüksek bir sürüme güncelleme yapmaları talimatını verdi.
Şirket, yama yapılmamış şirket içi kullanıcılar için örnekleri, en yeni, güvenli sürümlere güncellenmemeleri durumunda askıya alıyor.
Sophos X-Ops Tehdit Araştırması direktörü Christopher Budd, e-posta yoluyla şunları söyledi: “Son 48 saat içinde ScreenConnect’i içeren çok sayıda saldırı gördük.” “En dikkate değer olanı, 2022’de sızdırılan LockBit 3 fidye yazılımı oluşturma aracı kullanılarak oluşturulan bir kötü amaçlı yazılımdı: bu, gerçek LockBit geliştiricilerinden kaynaklanmamış olabilir.”
Budd, tehdit etkinliğinin birden fazla saldırgandan geldiğini gösteren uzaktan erişim truva atları, bilgi hırsızları, şifre çalıcıları ve diğer fidye yazılımı türleri de dahil olmak üzere ConnectWise ScreenConnect kullanıcılarına karşı başka kötü amaçlı araçların kullanıldığını da ekledi.
Sophos araştırmacıları halen ikinci yüksek önem derecesine sahip güvenlik açığı olan CVE-2024-1708’in şu ana kadar gördüğü saldırılardaki rolünü araştırıyor.
Budd, “Bu saldırılardaki istismar zincirlerinin tamamını henüz ayrıntılı olarak açıklamadık” dedi.
Rapid7 ayrıca birden fazla müşteri ortamında gözlemlenen istismarTehdit istihbaratı direktörü Caitlin Condon’a göre.
Condon, e-posta yoluyla şunları söyledi: “MDR ekiplerimiz bir dizi sömürü sonrası davranış gözlemledi ve hedeflenen mağdur kuruluşlar veya sektörler arasında belirgin bir model yok.”
ConnectWise, ScreenConnect’teki her iki güvenlik açığını da hızla giderdiğini söyledi ve bulut iş ortaklarının 24 saat içinde otomatik olarak korunduğunu kaydetti. Ancak şirket herhangi bir saldırıyla doğrudan bağlantı olduğunu doğrulamadı.
”Şirket, e-postayla yaptığı açıklamada, şu anda güvenlik açığı ile herhangi bir güvenlik olayı arasında kesin olarak doğrudan bir bağlantı kuramıyoruz” dedi.