يتم الآن ملاحظة الهجمات السيبرانية ضد الحالات الضعيفة لمنصة الإدارة عن بعد ConnectWise ScreenConnect بعد الكشف عن ثغرة أمنية خطيرة في الخدمة، بما في ذلك بعضها بواسطة فرد يستخدم نسخة مسربة من برنامج LockBit Ransomware.
CVE-2024-1709 – التي تم وصفها بأنها “تافهة” لاستغلالها من قبل أحد الباحثين الذين بحثوا تحت غطاء المحرك – هي ثغرة أمنية لتجاوز المصادقة وتم الكشف عنها في وقت سابق من هذا الأسبوع. هناك أيضًا مشكلة ثانية أقل خطورة ولكنها لا تزال خطيرة، وهي CVE-2024-1708، قيد التداول أيضًا.
التصحيحات متوفرة وتتوفر المزيد من التفاصيل حول كيفية تطبيقها ومن يحتاج إلى القيام بذلك من ConnectWise.
ونظرًا لسهولة الاستغلال، توقع المراقبون بالفعل أن الهجمات سوف تتكشف في وقت قصير، ويبدو أن هذا هو الحال الآن، كما لاحظ كريستوفر بود، مدير Sophos X-Ops.
“لقد شهدنا عدة هجمات تتعلق بـ ScreenConnect خلال الـ 48 ساعة الماضية. أبرزها هو البرنامج الضار الذي تم إنشاؤه باستخدام أداة إنشاء برامج الفدية LockBit 3 التي تم تسريبها في عام 2022: ربما لم يكن هذا قد نشأ مع مطوري LockBit الفعليين. لكننا نرى أيضًا الفئران [remote access Trojans]وسارقي المعلومات وسارقي كلمات المرور وبرامج الفدية الأخرى. وقال بود: “كل هذا يدل على أن العديد من المهاجمين المختلفين يستهدفون ScreenConnect”.
“يجب على أي شخص يستخدم ScreenConnect اتخاذ خطوات لعزل الخوادم والعملاء المعرضين للخطر على الفور، وتصحيحهم والتحقق من وجود أي علامات اختراق. سوفوس لديه إرشادات واسعة النطاق ومواد لصيد التهديدات من Sophos X-Ops للمساعدة. وقال لـ Computer Weekly في تعليقات عبر البريد الإلكتروني: “نحن نواصل تحقيقاتنا وسنقوم بإجراء التحديثات حسب الحاجة”.
مايك والترز، الرئيس والمؤسس المشارك لـ الإجراء1، وهو متخصص في إدارة التصحيح، كان من بين أولئك الذين حثوا عملاء ConnectWise على الانتباه والملاحظة. “من المحتمل أن يكون هناك الآلاف من الحالات المخترقة. قد يكون الهجوم الضخم الذي يستغل هذه الثغرات الأمنية مشابهًا لاستغلال ثغرة Kasya في عام 2021، حيث أن ScreenConnect هي RMM شائعة جدًا بين MSPs وMSSPs، ويمكن أن تؤدي إلى أضرار مماثلة.
“يشير التحذير الأمني إلى أنه من المقرر إصدار إصدارات ScreenConnect المحدثة من 22.4 إلى 23.9.7 ويؤكد على التوصية بالترقية إلى الإصدار 23.9.8 من ScreenConnect كأولوية.
وأضاف والترز: “لا يتأثر عملاء السحابة الذين يستضيفون خوادم ScreenConnect على نطاقات ‘screenconnect.com’ أو ‘hostedrmm.com’، حيث تم تنفيذ التحديثات لمعالجة نقاط الضعف هذه في الخدمة السحابية”.
في وقت كتابة هذا التقرير، تظهر بيانات شودان أن هناك حوالي 9000 حالة ضعيفة من ScreenConnect معرضة للإنترنت، مع ما يقل قليلاً عن 500 منها موجودة في المملكة المتحدة.
وقالت سوفوس إن بساطة الاستغلال جعلت من الضروري بالنسبة للمستخدمين تقييم تعرضهم واتخاذ خطوات تتجاوز مجرد التصحيح.
للحصول على أقصى قدر من الحماية، يجب أن تتأكد فرق الأمان من تحديد جميع عمليات تثبيت ScreenConnect – بما في ذلك تلك التي يتم تشغيلها بواسطة موفري الخدمات المُدارة الخارجيين (MSP)، وعزل برنامج العميل أو إلغاء تثبيته من الأجهزة المحددة حتى يتمكنوا من التأكد من قيامهم بالتصحيح، ثم التحقق من تلك الأجهزة للأنشطة الضارة المحتملة. يمكن أن يشمل ذلك إنشاء مستخدمين محليين جدد، وأنشطة برنامج العميل المشبوهة، وإعادة النظام والمجال، وأي إجراءات قد تشير إلى أن شخصًا ما حاول تعطيل عناصر التحكم في الأمان.
اتصلت شركة Computer Weekly بشركة ConnectWise للتعليق، لكن المنظمة لم تستجب حتى وقت النشر.
