影响 ConnectWise 的 ScreenConnect 远程桌面访问产品的严重漏洞已被广泛利用来传播勒索软件和其他类型的恶意软件。
ConnectWise 于 2 月 19 日通知客户,它已发布针对关键身份验证绕过缺陷和高严重性路径遍历问题的补丁。该安全漏洞当时没有 CVE 标识符。第二天,该公司警告说,它已经意识到野外的利用企图。
CVE 标识符现已分配给这两个漏洞:CVE-2024-1709 为身份验证绕过漏洞,CVE-2024-1708 为路径遍历漏洞。
威胁检测和响应公司 Huntress(将这些缺陷称为SlashAndGrab)在概念验证 (PoC) 漏洞利用已经可用后,于 2 月 21 日披露了技术细节。
身份验证绕过漏洞允许攻击者创建具有管理员权限的新帐户。然后可以利用路径遍历来执行任意代码。
有几份报告表明 CVE-2024-1709 被广泛利用,但尚不清楚 CVE-2024-1708 是否也被利用。
Huntress报告称,看到 SlashAndGrab 被利用来传播 LockBit 勒索软件、Cobalt Strike、SSH 隧道、远程管理工具和加密货币挖矿程序。该公司确定的受害者包括地方政府、应急系统和医疗机构。
Sophos 还报告称看到了LockBit 勒索软件的传播,考虑到该网络犯罪企业最近成为了一场极具破坏性的执法行动的目标,这一点很有趣。
Sophos 表示:“尽管针对 LockBit 采取了执法行动,但一些附属机构似乎仍在运行。”
该网络安全公司还发现通过利用 ScreenConnect 漏洞传播 AsyncRAT、各种信息窃取程序和 SimpleHelp 远程访问软件。
非营利网络安全组织 Shadowserver 基金会报告称,截至 2 月 21 日,已发现超过8,200 个暴露于互联网且易受攻击的ScreenConnect 实例。易受攻击实例的比例最高的是美国,其次是加拿大和英国。
Shadowserver 表示:“CVE-2024-1709 在野外被广泛利用——迄今为止,我们的传感器已发现 643 个 IP 受到攻击。”
CISA 已将 CVE-2024-1709 添加到其已知被利用的漏洞目录中,并指出该机构已意识到勒索软件攻击中的利用情况。