A támadók egy maximális súlyosságú hitelesítési megkerülési sebezhetőséget használnak ki a nem javított ScreenConnect kiszolgálók feltörésére és LockBit zsarolóprogramok telepítésére a megtámadott hálózatokon.
A hét elején a ConnectWise biztonsági frissítéseket adott ki, és több kiberbiztonsági vállalat PoC exploitokat tett közzé. Egy nappal később, a maximális súlyosságú CVE-2024-1709 auth bypass hiba aktív kihasználását jelentették.
A ConnectWise javította a CVE-2024-1708 nagy súlyosságú path traversal sebezhetőséget is, amellyel magas jogosultságokkal rendelkező támadók élhettek vissza.
Mindkét biztonsági hiba az összes ConnectWise ScreenConnect 23.9.8-nál korábbi verzióját érinti, így a vállalat feloldotta az összes licenszkorlátozást, hogy a lejárt példányokkal rendelkező ügyfelek is frissíthessenek a szoftver legújabb verziójára.
A CISA a mai napon a CVE-2024-1709-et felvette a KEV katalógusába, és felszólította az amerikai szövetségi ügynökségeket, hogy február 29-ig tegyék biztonságossá a szervereiket.
A Shadowserver biztonsági fenyegetésfigyelő platform is a CVE-2024-1709-et széles körű kihasználását jelentette: 643 IP cím jelenleg is a sebezhető szervereket veszi célba.
A Shodan jelenleg több mint 8659 ScreenConnect kiszolgálót követ nyomon, de csak 980-on fut a ScreenConnect 23.9.8-as javított verziója.
A Sophos X-Ops felfedte, hogy a támadók a két ScreenConnect exploit kihasználása után a LockBit zsarolóprogramot telepítették az áldozatok rendszereire.
A LockBit elleni akció ellenére úgy tűnik, hogy néhány társcsoportjuk még mindig aktív.
A közös művelet eredményeként egy ingyenes LockBit 3.0 Ransomware dekódolót adtak ki, amit a “No More Ransom” portálon tettek közzé.
