Pesquisadores de segurança dizem que duas falhas fáceis de explorar em uma popular ferramenta de acesso remoto usada por mais de um milhão de empresas em todo o mundo estão agora sendo exploradas em massa, com hackers abusando das vulnerabilidades para implantar ransomware e roubar dados confidenciais.
Gigante da segurança cibernética Mandiant disse em um post na sexta-feira que “identificou a exploração em massa” das duas falhas no ConnectWise ScreenConnect, uma popular ferramenta de acesso remoto que permite que TI e técnicos forneçam suporte técnico remotamente diretamente nos sistemas do cliente pela Internet.
As duas vulnerabilidades incluem CVE-2024-1709, uma vulnerabilidade de desvio de autenticação que os pesquisadores consideraram “embaraçosamente fácil” para os invasores explorarem, e CVE-2024-1708, uma vulnerabilidade de passagem de caminho que permite que hackers plantem remotamente códigos maliciosos, como malware, em instâncias vulneráveis de clientes ConnectWise.
ConnectWise divulgou as falhas pela primeira vez em 19 de fevereiro e pediu aos clientes locais que instalassem patches de segurança imediatamente. No entanto, milhares de servidores permanecem vulneráveis, de acordo com dados da Shadowserver Foundatione cada um desses servidores pode gerenciar até 150.000 dispositivos de clientes.
A Mandiant disse ter identificado “vários atores de ameaças” explorando as duas falhas e alertou que “muitos deles implantarão ransomware e conduzirão extorsão multifacetada”, mas não atribuiu os ataques a grupos de ameaças específicos.
A empresa finlandesa de segurança cibernética WithSecure disse em uma postagem no blog Segunda-feira que seus pesquisadores também observaram “exploração em massa” das falhas do ScreenConnect por vários atores de ameaças. WithSecure disse que esses hackers estão explorando as vulnerabilidades para implantar ladrões de senhas, backdoors e, em alguns casos, ransomware.
WithSecure disse que também observou hackers explorando as falhas para implantar uma variante do Windows do backdoor KrustyLoader em sistemas ScreenConnect não corrigidos, o mesmo tipo de backdoor plantado por hackers recentemente explorando vulnerabilidades no software VPN corporativo da Ivanti. A WithSecure disse que ainda não pode atribuir a atividade a um grupo de ameaças específico, embora outros tenham vinculado a atividade anterior a um grupo de hackers apoiado pela China e focado em espionagem.
Pesquisadores de segurança da Sophos e da Huntress disseram na semana passada que observaram a gangue de ransomware LockBit lançando ataques que exploram as vulnerabilidades do ConnectWise – poucos dias depois de uma operação internacional de aplicação da lei alegar ter interrompido as operações da notória gangue de crimes cibernéticos ligada à Rússia.
Caçadora disse em sua análise que desde então observou um “número de adversários” aproveitando explorações para implantar ransomware, e um “número significativo” de adversários usando explorações implantam software de mineração de criptomoeda, instalam ferramentas de acesso remoto “legítimas” adicionais para manter acesso persistente à rede da vítima, e crie novos usuários em máquinas comprometidas.
Ainda não se sabe quantos clientes ou usuários finais do ConnectWise ScreenConnect são afetados por essas vulnerabilidades, e os porta-vozes do ConnectWise não responderam às perguntas do TechCrunch. O site da empresa afirma que a organização fornece sua tecnologia de acesso remoto para mais de um milhão de pequenas e médias empresas que gerenciam mais de 13 milhões de dispositivos.
No domingo, a ConnectWise cancelou uma entrevista pré-combinada entre o TechCrunch e seu CISO Patrick Beggs, agendada para segunda-feira. ConnectWise não informou o motivo do cancelamento de última hora.
Você foi afetado pela vulnerabilidade do ConnectWise? Você pode entrar em contato com Carly Page com segurança no Signal pelo telefone +441536 853968 ou por e-mail em carly.page@techcrunch.com. Você também pode entrar em contato com o TechCrunch via SecureDrop.
