网络犯罪组织 Black Basta 和 Bl00dy 加入了 对易受攻击的ScreenConnect服务器的大规模攻击。所有没有时间更新系统的用户都会成为目标。
不过,针对关键身份验证绕过漏洞 (CVE-2024-1709) 的修复程序已经可用。该漏洞允许攻击者在开放服务器上创建管理员帐户、删除所有其他用户并获得对任何系统的完全控制。
ConnectWise 发布更新以及多家公司发布 POC 漏洞的一天后,黑客就开始利用 CVE-2024-1709。
上周,ConnectWise 还修复了一个只能由高权限攻击者利用的关键目录遍历漏洞 (CVE-2024-1708)。
该公司已取消所有许可限制,以便许可证过期的客户可以保护自己免受持续的攻击,因为这两个问题影响 ScreenConnect 的所有版本。
周四,CISA 还将 CVE-2024-1709添加 到其已知可利用漏洞目录中,命令美国联邦机构在 2 月 29 日之前采取行动确保网络安全。
据Shadowserver称,该漏洞已在实践中得到积极利用—— 数十个IP地址 针对ScreenConnect开放在线服务器。Shodan服务 监控超过 10,000 台此类服务器,其中只有 1,559 台运行修补版本 23.9.8。
通过分析这些事件,趋势科技发现 Black Basta 和 Bl00dy 组织也 开始利用 ScreenConnect 的缺陷进行初始访问和安装后门。
分析人士称,攻击者在进入受害者网络后,会进行侦察并增加其在系统中的权限。Black Basta 组织使用 Cobalt Strike 工具在受感染的系统中站稳脚跟。Bl00dy 使用了由 泄露的构建器 Conti 和 LockBit 创建的恶意软件。
此外,攻击者还安装了多功能XWorm恶意软件,该恶意软件具有RAT和勒索软件功能。
一些攻击者利用对 ScreenConnect 服务器的访问来安装远程管理工具,例如 Atera、Syncro 或其他 ConnectWise 实例。
Sophos 发现了使用泄露的 LockBit 构建器创建的多个勒索软件有效负载,包括在 30 个不同网络上发现的 buhtiRansom 。
Huntress 还确认 CVE-2024-1709 已经涉及多起事件。特别是,它被用来攻击地方当局,包括与 911 服务和大型医疗诊所相关的系统。
正如趋势科技在详细分析利用 ConnectWise ScreenConnect 漏洞的网络攻击后表示,紧急更新到最新版本的软件不再只是建议,而是关键措施。
发表评论
您还未登录,请先登录。
登录