افشای دو نقص امنیتی بزرگ در نرم‌افزار ConnectWise!

• محققان امنیتی می‌گویند دو نقص امنیتی در ConnectWise با قابلیت بهره‌برداری آسان در یک ابزار محبوب دسترسی از راه دور که توسط بیش از یک میلیون شرکت در سراسر جهان استفاده می‌شود، اکنون مورد سوء‌استفاده انبوه قرار گرفته است.

هکرها از این دو نقص امنیتی در ConnectWise برای استقرار باج‌افزار و سرقت داده‌های حساس سوء‌استفاده می‌کنند.

غول امنیت سایبری Mandiant روز جمعه اعلام کرد که بهره‌برداری انبوه از دو نقص امنیتی را در ConnectWise ScreenConnect شناسایی کرده است. ConnectWise ابزار محبوب دسترسی از راه دور است که به متخصصین IT و تکنسین‌ها اجازه می‌دهد تا پشتیبانی فنی را از راه دور و به‌وسیله اینترنت مستقیماً در سیستم مشتریان ارائه دهند.

این دو آسیب‌پذیری عبارتند از:

CVE-2024-1709 که یک آسیب‌پذیری بای‌پس احراز هویت که به نظر محققان استفاده از آن برای مهاجمان به‌طور شرم‌آوری آسان است. همچنین CVE-2024-1708، یک آسیب‌پذیری عبور از مسیر که به هکرها اجازه می‌دهد از راه دور کدنویسی کنند.

در ضمن اگر به‌دنبال سایر راههای محافظت از رایانه و اطلاعات شخصی خود، در برابر انواع خطرات هستید، می‌توانید مقاله‌ی ما را در مورد ضرورت استفاده از یک آنتی‌ویروس مطمئن و معتبر، مطالعه کنید.

واکنش‌های تحلیلگران حوزه امنیت سایبری

ConnectWise برای اولین بار در 19 فوریه این نقص‌ها را فاش کرد و از مشتریان خود خواست تا فوراً وصله‌های امنیتی را نصب کنند. بااین‌حال، طبق داده‌های بنیاد Shadowserver، همچنان هزاران سرور آسیب‌پذیر هستند و هر یک از این سرورها می‌توانند تا 150000 دستگاه مشتری را مدیریت کنند.

Mandiant اعلام کرد که هکرهای مختلفی را شناسایی کرده است که از این دو نقص سوءاستفاده می‌کنند. همچنین هشدار داده است که بسیاری از آن‌ها باج‌افزار را مستقر کرده و اخاذی چندوجهی انجام می‌دهند. اما این حملات را به گروه‌های تهدید خاصی نسبت نداد.

شرکت امنیت سایبری فنلاندی WithSecure روز دوشنبه در یک پست وبلاگی اعلام کرد که محققان این شرکت بهره‌برداری انبوه از نقص‌های ScreenConnect را توسط چندین هکر مشاهده کرده‌اند. همچنین این هکرها از آسیب‌پذیری‌ها و نقص امنیتی در ConnectWise برای استقرار دزدهای رمز عبور، درهای پشتی و در برخی موارد باج‌افزار سوءاستفاده می‌کنند.

WithSecure گفت که هنوز نمی‌تواند این فعالیت را به یک گروه هکری خاص نسبت دهد. اگرچه دیگران فعالیت گذشته را به یک گروه هکری تحت حمایت چین مرتبط می‌دانند که بر جاسوسی متمرکز است.

محققان امنیتی در Sophos و Huntress هفته گذشته اعلام کردند که باند باج‌افزار LockBit را مشاهده کرده‌اند که حملاتی را در جهت سوءاستفاده از آسیب‌پذیری‌های ConnectWise انجام می‌دهند. این اتفاق تنها چند روز پس از یک عملیات اجرای قانون بین‌المللی که ادعا می‌کرد در عملیات باند جنایت سایبری بدنام که مرتبط با روسیه است، اختلال ایجاد می‌کند، رخ داد.

هانترس در تحلیل خود گفت که از آن زمان به بعد مشاهده کرده است که تعدادی از دشمنان از سوءاستفاده‌های اهرمی برای استقرار باج‌افزار استفاده می‌کنند و با استفاده از اکسپلویت‌هایی که نرم‌افزار استخراج ارزهای دیجیتال را به‌کار می گیرند، ابزارهای دسترسی از راه دور اضافی را برای حفظ دسترسی دائمی نصب می‌کنند.

مقدار تخریب این آسیب‌پذیری

هنوز مشخص نیست که چه تعداد از مشتریان ConnectWise ScreenConnect یا کاربران نهایی تحت‌تأثیر این آسیب‌پذیری‌ها قرار گرفته‌اند. سخنگویان ConnectWise به سؤالات TechCrunch پاسخ ندادند.

وب‌سایت این شرکت ادعا می‌کند که این سازمان فناوری دسترسی از راه دور خود را در اختیار بیش از یک میلیون کسب‌وکار کوچک تا متوسط ​​قرار می‌دهد که بیش از 13 میلیون دستگاه را مدیریت می‌کنند.

روز یکشنبه، ConnectWise مصاحبه از پیش تعیین‌شده بین TechCrunch و CISO Patrick Beggs را که برای دوشنبه برنامه‌ریزی شده بود، لغو کرد. ConnectWise دلیلی برای لغو لحظه آخری ارائه نکرد.

خط مقدم دفاع از شما در مقابل حملات روز صفر، استفاده از آنتی ویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام به روزرسانی شود. ما در مجموعه‌ی شیدافزار برای این نگرانی شما عزیزان، ضدویروس شید را پیشنهاد می‌کنیم.

در صوت تمایل به آشنایی با ضدویروس‌های شید می‌توانید روی دکمه زیر کلیک کنید.