Sophos XOps 追踪针对 ConnectWise ScreenConnect 漏洞的攻击波
关键要点
Sophos XOps 正在监控针对未打补丁的 ConnectWise ScreenConnect 安装的黑客攻击浪潮。本文为客户、研究人员、调查人员和事件响应者提供了建议和指导,基于 SophosLabs 的攻击观察与分析。重要更新包括对未打补丁的服务器进行攻击链接的信息、合作更新和修复的建议。
twitter加速器永久免费版事件概述
2024 年 2 月 19 日,ConnectWise 发布了针对其远程监控和管理RMM软件的安全通告,其通告强调了针对早期版本 ScreenConnect 的两项漏洞,这两项漏洞已在版本 2398 及以后的版本中进行了缓解。
ConnectWise 在公告中表示,这些漏洞被评为 “严重可能允许执行远程代码或直接影响机密数据或关键系统的漏洞”。具体漏洞包括:
漏洞名称CVE 编号根本 CVSS 分数漏洞描述身份验证绕过CVE2024170910使用替代路径或通道的身份验证绕过路径遍历CVE2024170884对路径名限制不当“路径遍历”这些漏洞涉及服务器软件中的身份验证绕过和路径遍历问题,而不是安装在最终用户设备上的客户端软件。攻击者发现他们可以向安装了客户端软件的服务器或工作站部署恶意软件。Sophos 已查明针对服务器和客户端机器的攻击正在进行中。打补丁后不会移除任何恶意软件或攻击者在打补丁之前部署的网页外壳,任何被攻击的环境都需要进行调查。
在验证后数小时内,基于云的 ScreenConnect 实现包括 screenconnectcom 和 hostedrmmcom已接收到针对这些漏洞的缓解措施。自托管本地实例在手动升级之前仍存在风险,因此我们建议立即打补丁升级至 ScreenConnect 版本 2398。升级可以在 ScreenConnect 的下载页面找到。
更新 如果您不再在维护期内,ConnectWise 允许您以不额外收费的方式安装 224 版本,以修复 CVE20241709 这一关键漏洞。然而,这应被视为临时步骤。ConnectWise 建议更新至最新版本,以获得所有当前的安全补丁,所有合作伙伴都应该使用上方列出的升级途径升级到 2398 或更高版本。
2024 年 2 月 21 日,GitHub 上发布了一段概念验证PoC代码,利用这些漏洞在被攻陷的系统上添加新用户。ConnectWise 还更新了其初始报告,以包括在野外活动中观察到的这些漏洞的积极利用情况。