A ScreenConnect sérülékenységet használják ki a megmaradt LockBit tagok

A támadók egy maximális súlyosságú hitelesítési megkerülési sebezhetőséget használnak ki a nem javított ScreenConnect kiszolgálók feltörésére és LockBit zsarolóprogramok telepítésére a megtámadott hálózatokon.

A hét elején a ConnectWise biztonsági frissítéseket adott ki, és több kiberbiztonsági vállalat PoC exploitokat tett közzé. Egy nappal később, a maximális súlyosságú CVE-2024-1709 auth bypass hiba aktív kihasználását jelentették.

A ConnectWise javította a CVE-2024-1708 nagy súlyosságú path traversal sebezhetőséget is, amellyel magas jogosultságokkal rendelkező támadók élhettek vissza.

Mindkét biztonsági hiba az összes ConnectWise ScreenConnect 23.9.8-nál korábbi verzióját érinti, így a vállalat feloldotta az összes licenszkorlátozást, hogy a lejárt példányokkal rendelkező ügyfelek is frissíthessenek a szoftver legújabb verziójára.

A CISA a mai napon a CVE-2024-1709-et felvette a KEV katalógusába, és felszólította az amerikai szövetségi ügynökségeket, hogy február 29-ig tegyék biztonságossá a szervereiket.

A Shadowserver biztonsági fenyegetésfigyelő platform is a CVE-2024-1709-et széles körű kihasználását jelentette: 643 IP cím jelenleg is a sebezhető szervereket veszi célba.

A Shodan jelenleg több mint 8659 ScreenConnect kiszolgálót követ nyomon, de csak 980-on fut a ScreenConnect 23.9.8-as javított verziója.

A Sophos X-Ops felfedte, hogy a támadók a két ScreenConnect exploit kihasználása után a LockBit zsarolóprogramot telepítették az áldozatok rendszereire.

A LockBit elleni akció ellenére úgy tűnik, hogy néhány társcsoportjuk még mindig aktív.

A közös művelet eredményeként egy ingyenes LockBit 3.0 Ransomware dekódolót adtak ki, amit a “No More Ransom” portálon tettek közzé.

(bleepingcomputer.com)