8800 серверов – один баг: любую необновленную систему ScreenConnect можно взломать удаленно

Компания ConnectWise просит своих клиентов срочно обновить сервера ScreenConnect. Причиной стали две критические уязвимости, допускающие обход аутентификации и выполнение произвольного кода удаленно.

Один из дефектов злоумышленники могут использовать для кражи конфиденциальных данных или развертывания программ-вымогателей на взломанных устройствах. Атаки могут осуществляться дистанционно и не требуют взаимодействия с пользователем.

Компания также зафиксировала уязвимость типа «path traversal» в своем программном обеспечении для удаленного доступа к рабочему столу. Однако этот баг могут эксплуатировать лишь хакеры с расширенными привилегиями, поэтому опасность все же не столь высока, как у первого бага.

Технические подробности и доказательства концепции уже доступны. Буквально через день после того, как информация о багах была раскрыта, злоумышленники начали их эксплуатировать. CISA присвоила этим двум проблемам идентификаторы CVE-2024-1708 и CVE-2024-1709.

Под ударом находятся все серверы ScreenConnect версий 23.9.7 и ниже. Облачные ScreenConnect на screenconnect.com и hostedrmm.com уже защищены, а владельцев локальных систем призывают обновить ПО до версии 23.9.8.

Исследователи из Huntress уже создали эксплойт для обхода аутентификации и обнаружили с его помощью более 8800 подверженных атаке систем по всему миру.

В прошлом месяце CISA, Агентство национальной безопасности США и организация MS-ISAC выпустили совместное предупреждение . В нём говорится, что злоумышленники всё чаще используют легитимные программы для удалённого мониторинга и управления, такие как ScreenConnect, в преступных целях.

Легитимное ПО помогает хакерам получить доступ к системам с правами обычных пользователей. Таким образом довольно легко обходить средства защиты, взламывая другие сети и устройства.

Как сообщили в ConnectWise, о критических проблемах стало известно 13 февраля 2024.

Компания Huntress проанализировала уязвимости и заявила, что создание эксплойта для них - довольно простая задача.

Первые эксплойты появились недолгим после того, как о дефектах стало известно. Их количество продолжает расти. Huntress поделилась подробным анализом уязвимостей и надеется, что это ускорит шаги компаний по защите систем.