Компания ConnectWise просит своих клиентов срочно обновить сервера ScreenConnect. Причиной стала критическая уязвимость, допускающая обход аутентификации и выполнение произвольного кода удаленно.
Этот дефект злоумышленники могут использовать для кражи конфиденциальных данных или развертывания программ-вымогателей на взломанных устройствах. Атаки могут осуществляться дистанционно и не требуют взаимодействия с пользователем.
Компания также устранила уязвимость типа “path traversal” в своем программном обеспечении для удаленного доступа к рабочему столу. Однако этот баг могут эксплуатировать лишь хакеры с расширенными привилегиями, поэтому опасность была не столь высока.
Под ударом находятся все серверы ScreenConnect версий 23.9.7 и ниже. Облачные ScreenConnect на screenconnect.com и hostedrmm.com уже защищены, а владельцев локальных систем призывают обновить ПО до версии 23.9.8.
Исследователи из Huntress уже создали эксплойт для обхода аутентификации и обнаружили с его помощью более 8800 подверженных атаке систем по всему миру.
В прошлом месяце CISA, Агентство национальной безопасности США и организация MS-ISAC выпустили совместное предупреждение . В нём говорится, что злоумышленники всё чаще используют легитимные программы для удалённого мониторинга и управления, такие как ScreenConnect, в преступных целях.
Легитимное ПО помогает хакерам получить доступ к системам с правами обычных пользователей. Таким образом довольно легко обходить средства защиты, взламывая другие системы и устройства.
Как сообщили в ConnectWise, о критических проблемах стало известно 13 февраля 2024.
“Пока нет свидетельств того, что кто-либо воспользовался этими уязвимостями, однако нашим партнёрам, использующим локальные серверы, следует незамедлительно предпринять меры по устранению выявленных рисков”. – комментирую представители.