Hotlandskapet växer
Digitaliseringen fortskrider och allt fler system och människor kommer närmare varandra. Men samtidigt som det förenklar vår vardag, expanderar även attackytan som kan utnyttjas av illasinnade aktörer. Hotaktörer kommer i flera olika skepnader och det är inte sällan grupper specialiserar sig på just sin attackvektor. En av dessa specialiseringar benämns som ”Initial Access Broker” (IAB) och innebär att man fokuserar på att ta sig in på nätverk/system och skapar fotfäste (persistence). När de har lyckats få olovligt tillträde kan den därefter säljas vidare. Ofta till någon ransomware-grupp som tar stafettpinnen och gör det de är nischade på – låsa filer genom kryptering – och hålla data i gisslan i väntan på lösensumma (utpressningsattack).
Vi vill poängtera vikten av att ALLTID anmäla utpressningsförsök och ALDRIG betala.
Coligo jobbar med proaktiv säkerhet där vi bland annat arbetar med att höja medvetenheten kring olika typer av hot och sårbarheter. Längre ner benämns fler IOC:er (indicator of compromise) för just denna sårbarhet samt mer generella förslag. Men om ni använder ScreenConnect 23.9.7 eller lägre uppmanar vi att omedelbart uppdatera och undersöka om något intrång har skett.
Sårbarheten – CVE-2024-1709
Den 19 februari släppte ConnectWise en säkerhetsuppdatering för ScreenConnect
”CVE-2024-1709” som fick högsta möjliga CVSS (10.0 / Critical). En snabb sökning visar att det i skrivande stund finns drygt 11 000 – varav ca 3000 sårbara – datorer med ScreenConnect på internet. Det finns flertalet tjänster som används för att konstant skanna nätet efter sårbarheter, exempelvis: ”Shodan.io”, ”Hunter.how” eller “Defender EASM”.
Själva sårbarheten grundar sig i svagheter i autentiseringsprocessen där man genom
manipulation av sökvägen i ”SetupWizard.aspx” kan forcera en ny exekvering av
”SetupWizard” och nollställa den lokala användardatabasen samt lägga till en ny
administratör. Detta blir möjligt p.g.a. kombinationen av en bugg i ScreenConnect och en funkonalitet i .NET. Enkelt förklarat, trots att det redan finns en färdig konfiguration av ScreenConnect, är det möjligt att tvinga fram en ny installation.
Kort efter att ConnectWise gick ut med en säkerhetsuppdatering, släpptes det publika
”Proof Of Concepts” (POC) samt en ”Metasploit RCE-modul”, vilket möjliggör att
sårbarheten nu med lätthet kan bli exploaterad av en bredare publik (allt från etablerade ransomware-grupper till scriptkiddies). När angriparen väl kommer in och har systemrättigheter kan de skapa fotfäste genom att installera legitima program/tjänster och på så sätt undvika att trigga eventuella larm. Ett vanligt sätt detta uppnås med är med hjälp av fjärrstyrningsprogram och “öppna upp bakdörrar” för framtida och fortsatta attacker. Därefter kan hotaktören täppa igen och förhindra att andra exploaterar samma sårbarhet.
Hur ett attackflöde kan se ut
Vi vill poängtera att ovanstående attackflöde är bara ett exempel och att det kan se
väldigt annorlunda ut efter det initiala steget. Det finns rapporter om PowerShell-aktivitet, discovery eller certutil-användning, men även skapandet av nya användare i
AD. Har ni inte uppdaterat är det värt att titta igenom flera nivåer att eventuella
angreppspunkter.
Lägesrapport
Vid en sådan här kritisk sårbarhet handlar det inte om rekommendationer till att uppdatera utan det är närmare ett krav. ConnectWise har hävt licenskravet för att tillåta alla att uppdatera till senaste version.
Runt om i världen rapporteras det om hur hotaktörer utnyttjar sårbarheten. Om ni misstänker ett eventuellt intrång eller behöver hjälp med att skapa detektion så kan vi på Coligo bistå med expertis.
Läs mer om hur vi hjälper våra kunder uppnå målen för cybersäkerhet 2024 i länken nedan.
