Duas vulnerabilidades recém-reveladas em um aplicativo de acesso remoto à área de trabalho amplamente utilizado e apreciado por provedores de serviços gerenciados (MSPs) estão atraindo comparações com o ataque cibernético de julho de 2021 à Kaseya, com especialistas em segurança descrevendo a exploração como trivial.
O produto em questão, ConnectWise ScreenConnect, é amplamente utilizado por trabalhadores remotos e equipes de suporte de TI. A primeira vulnerabilidade permite que um agente de ameaça consiga ignorar a autenticação usando um caminho ou canal alternativo e é rastreada como CVE-2024-1709. Ele carrega uma pontuação CVSS crítica de 10 e já foi adicionado ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA. O segundo é um problema de passagem de caminho, rastreado como CVE-2024-1708, que carrega uma pontuação CVSS de 8,4.
ConnectWise lançou correções para o problema e diz que os parceiros em nuvem já foram corrigidos contra ambos, enquanto os parceiros locais devem atualizar imediatamente para a versão 23.9.10.8817. Mais informações, incluindo indicadores de compromisso (IoCs) estão disponíveis aqui.
ConnectWise confirmou que estava ciente e investigando notificações de atividades suspeitas em torno das duas vulnerabilidades e, em 21 de fevereiro, confirmou a exploração ativa observada após o código de exploração de prova de conceito atingir o GitHub.
“Qualquer pessoa com ConnectWise ScreenConnect 23.9.8 deve tomar medidas imediatas para corrigir esses sistemas. Se não conseguirem corrigir imediatamente, deverão tomar medidas para removê-los da Internet até que possam corrigir. Os usuários também devem verificar se há alguma indicação de possível comprometimento, dada a velocidade com que os ataques seguiram esses patches”, disse o diretor do Sophos X-Ops, Christopher Budd.
“A combinação de uma vulnerabilidade explorável com serviços remotos externos é um fator significativo em ataques do mundo real, como evidenciado no Relatório de adversário ativo para líderes de tecnologia com base em casos de resposta a incidentes. Os serviços remotos externos são a técnica de acesso inicial número um; embora a exploração de uma vulnerabilidade tenha sido a segunda causa raiz mais comum, com 23%, ela tem sido a causa raiz mais comum no passado.
“Esses dados do mundo real mostram o quão poderosa essa combinação é para os invasores e por que, neste ambiente de ameaças significativamente elevadas, os clientes vulneráveis do ConnectWise precisam tomar medidas imediatas para se protegerem”, acrescentou.
Seguindo o aviso de divulgação inicial da ConnectWise, pesquisadores da Huntress Security trabalhou durante a noite para eliminar a vulnerabilidade, entender como funcionava e recriar a exploração.
Hanslovan disse que a divulgação inicial foi muito escassa em detalhes técnicos, e por um bom motivo, mas após a publicação do código de exploração PoC, o gato estava agora totalmente fora de questão. Ele descreveu a exploração como “embaraçosamente fácil”.
“Não posso esconder isso, isso é ruim”, disse Kyle Hanslovan, CEO da Huntress. “Estamos falando de mais de dez mil servidores que controlam centenas de milhares de terminais…. A grande prevalência deste software e o acesso proporcionado por esta vulnerabilidade sinalizam que estamos à beira de um ransomware gratuito para todos. Hospitais, infraestruturas críticas e instituições estatais estão comprovadamente em risco.”
Comparações com Kaseya
O Kaseya de 2021 atingido pela equipe do ransomware REvil foi um dos primeiros incidentes de alto perfil na cadeia de suprimentos a aumentar a conscientização generalizada sobre os problemas de segurança em torno dos serviços gerenciados.
O ataque, que ocorreu nos EUA durante o fim de semana do feriado de 4 de julho, quando as equipes de segurança estavam passando por algum tempo de inatividade, viu mais de mil organizações comprometidas por meio do endpoint e do serviço de gerenciamento de rede da Kaseya.
O incidente de transferência gerenciada de arquivos do MOVEit de 2023 teve um impacto semelhante, permitindo que a gangue de ransomware Clop/Cl0p se espalhasse downstream em muitas organizações que haviam contratado clientes do MOVEit.
Hanslovan disse que as comparações com ambos os incidentes foram adequadas, dado o grande número de MSPs que usam o ConnectWise.
“Há um acerto de contas com o software de dupla finalidade; como a Huntress descobriu com o MOVEit durante o verão, a mesma funcionalidade perfeita que oferece às equipes de TI, também oferece aos hackers”, disse ele.
“Com o software de acesso remoto, os bandidos podem enviar ransomware com a mesma facilidade com que os mocinhos podem enviar um patch. E assim que eles começarem a usar seus criptografadores de dados, aposto que 90% dos softwares de segurança preventiva não detectarão isso porque vêm de uma fonte confiável.”