- محققان امنیتی میگویند دو نقص امنیتی در ConnectWise با قابلیت بهرهبرداری آسان در یک ابزار محبوب دسترسی از راه دور که توسط بیش از یک میلیون شرکت در سراسر جهان استفاده میشود، اکنون مورد سوءاستفاده انبوه قرار گرفته است.
هکرها از این دو نقص امنیتی در ConnectWise برای استقرار باجافزار و سرقت دادههای حساس سوءاستفاده میکنند.
غول امنیت سایبری Mandiant روز جمعه اعلام کرد که بهرهبرداری انبوه از دو نقص امنیتی را در ConnectWise ScreenConnect شناسایی کرده است. ConnectWise ابزار محبوب دسترسی از راه دور است که به متخصصین IT و تکنسینها اجازه میدهد تا پشتیبانی فنی را از راه دور و بهوسیله اینترنت مستقیماً در سیستم مشتریان ارائه دهند.
این دو آسیبپذیری عبارتند از:
CVE-2024-1709 که یک آسیبپذیری بایپس احراز هویت که به نظر محققان استفاده از آن برای مهاجمان بهطور شرمآوری آسان است. همچنین CVE-2024-1708، یک آسیبپذیری عبور از مسیر که به هکرها اجازه میدهد از راه دور کدنویسی کنند.
در ضمن اگر بهدنبال سایر راههای محافظت از رایانه و اطلاعات شخصی خود، در برابر انواع خطرات هستید، میتوانید مقالهی ما را در مورد ضرورت استفاده از یک آنتیویروس مطمئن و معتبر، مطالعه کنید.
واکنشهای تحلیلگران حوزه امنیت سایبری
ConnectWise برای اولین بار در 19 فوریه این نقصها را فاش کرد و از مشتریان خود خواست تا فوراً وصلههای امنیتی را نصب کنند. بااینحال، طبق دادههای بنیاد Shadowserver، همچنان هزاران سرور آسیبپذیر هستند و هر یک از این سرورها میتوانند تا 150000 دستگاه مشتری را مدیریت کنند.
Mandiant اعلام کرد که هکرهای مختلفی را شناسایی کرده است که از این دو نقص سوءاستفاده میکنند. همچنین هشدار داده است که بسیاری از آنها باجافزار را مستقر کرده و اخاذی چندوجهی انجام میدهند. اما این حملات را به گروههای تهدید خاصی نسبت نداد.
شرکت امنیت سایبری فنلاندی WithSecure روز دوشنبه در یک پست وبلاگی اعلام کرد که محققان این شرکت بهرهبرداری انبوه از نقصهای ScreenConnect را توسط چندین هکر مشاهده کردهاند. همچنین این هکرها از آسیبپذیریها و نقص امنیتی در ConnectWise برای استقرار دزدهای رمز عبور، درهای پشتی و در برخی موارد باجافزار سوءاستفاده میکنند.
WithSecure گفت که هنوز نمیتواند این فعالیت را به یک گروه هکری خاص نسبت دهد. اگرچه دیگران فعالیت گذشته را به یک گروه هکری تحت حمایت چین مرتبط میدانند که بر جاسوسی متمرکز است.
محققان امنیتی در Sophos و Huntress هفته گذشته اعلام کردند که باند باجافزار LockBit را مشاهده کردهاند که حملاتی را در جهت سوءاستفاده از آسیبپذیریهای ConnectWise انجام میدهند. این اتفاق تنها چند روز پس از یک عملیات اجرای قانون بینالمللی که ادعا میکرد در عملیات باند جنایت سایبری بدنام که مرتبط با روسیه است، اختلال ایجاد میکند، رخ داد.
هانترس در تحلیل خود گفت که از آن زمان به بعد مشاهده کرده است که تعدادی از دشمنان از سوءاستفادههای اهرمی برای استقرار باجافزار استفاده میکنند و با استفاده از اکسپلویتهایی که نرمافزار استخراج ارزهای دیجیتال را بهکار می گیرند، ابزارهای دسترسی از راه دور اضافی را برای حفظ دسترسی دائمی نصب میکنند.
مقدار تخریب این آسیبپذیری
هنوز مشخص نیست که چه تعداد از مشتریان ConnectWise ScreenConnect یا کاربران نهایی تحتتأثیر این آسیبپذیریها قرار گرفتهاند. سخنگویان ConnectWise به سؤالات TechCrunch پاسخ ندادند.
وبسایت این شرکت ادعا میکند که این سازمان فناوری دسترسی از راه دور خود را در اختیار بیش از یک میلیون کسبوکار کوچک تا متوسط قرار میدهد که بیش از 13 میلیون دستگاه را مدیریت میکنند.
روز یکشنبه، ConnectWise مصاحبه از پیش تعیینشده بین TechCrunch و CISO Patrick Beggs را که برای دوشنبه برنامهریزی شده بود، لغو کرد. ConnectWise دلیلی برای لغو لحظه آخری ارائه نکرد.
خط مقدم دفاع از شما در مقابل حملات روز صفر، استفاده از آنتی ویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام به روزرسانی شود. ما در مجموعهی شیدافزار برای این نگرانی شما عزیزان، ضدویروس شید را پیشنهاد میکنیم.
در صوت تمایل به آشنایی با ضدویروسهای شید میتوانید روی تصویر زیر کلیک کنید.