Tere tulemast itfoorum.ee portaali!

Tere tulemast meie foorumitele, mis on ühendab endas toredaid inimesi, ideid ja põnevust. Palun registreeruge, kui soovite osaleda.

Liitumiseks meiega on teil mitmeid võimalusi, võite luua konto või liituda mõne sotsiaalmeedia kontoga.

Loo konto

Kübereksperdid on ärevil "triviaalsete" ConnectWise'i vigade pärast

Collapse
X
Collapse
 
  • Lehekülg of 1
  • Aeg
  • Show
Puhasta kõik
uued postitused
Previous template Järgmine
  • Maku
    IT huviline
    • Apr 2023
    • 60
    #1

    Kübereksperdid on ärevil "triviaalsete" ConnectWise'i vigade pärast


    Populaarse ConnectWise ScreenConnecti toote kahe ohtliku haavatavuse avalikustamine toob võrdluse suurte küberintsidentidega, sealhulgas 2021. aasta Kaseya rünnakuga.

    1 — Hallatavate teenuste pakkujate (MSP-de) armastatud laialdaselt kasutatavas kaugtöölaua juurdepääsurakenduses on hiljuti avalikustatud turvaaukude paar võrdlust 2021. aasta juuli küberrünnakuga Kaseya vastu, kusjuures turvaeksperdid kirjeldavad ärakasutamist triviaalsena.

    ・Kõnealust toodet ConnectWise ScreenConnect kasutavad laialdaselt nii kaugtöötajad kui ka IT-tugimeeskonnad. Esimene haavatavus võimaldab ohus osalejal autentimisest mööda minna, kasutades alternatiivset teed või kanalit, ja seda jälgitakse kui CVE-2024-1709. Selle CVSS-i kriitiline skoor on 10 ja see on juba lisatud CISA tuntud ärakasutatud haavatavuse (KEV) kataloogi. Teine on tee läbimise probleem, mida jälgitakse kui CVE-2024-1708, mille CVSS-i skoor on 8,4.

    ・ConnectWise on välja andnud probleemile parandused ja ütleb, et pilvepartnerid on juba mõlema vastu kõrvaldatud, samas kui kohapealsed partnerid peaksid viivitamatult värskendama versioonile 23.9.10.8817. Lisateavet, sealhulgas kompromissi näitajaid (IoC) leiate siit.

    ・ConnectWise kinnitas, et on teadlik kahe haavatavusega seotud kahtlasest tegevusest ja uurib neid, ning 21. veebruaril kinnitas, et GitHubi jõudis kontseptsiooni tõestuseks kasutava koodini aktiivne ärakasutamine.

    2 — "Igaüks, kellel on ConnectWise ScreenConnect 23.9.8, peaks nende süsteemide parandamiseks viivitamatult astuma samme. Kui nad ei saa kohe paika panna, peaksid nad võtma meetmeid, et need Internetist eemaldada, kuni nad saavad paika panna. Kasutajad peaksid kontrollima ka võimalike kompromisside viiteid, arvestades rünnakute kiirust, millega need paigad on järgnenud, ”ütles Sophos X-Opsi direktor Christopher Budd.

    ・„Kasutava haavatavuse sidumine väliste kaugteenustega on reaalsete rünnakute puhul oluline tegur, nagu näitab intsidentidele reageerimise juhtumitel põhinev tehnoloogiajuhtide aktiivsete vastase aruanne. Välised kaugteenused on esialgne juurdepääsutehnika number üks; Kuigi haavatavuse ärakasutamine oli levinuim algpõhjus (23%), on see minevikus olnud kõige levinum algpõhjus.

    ・"Need reaalmaailma andmed näitavad, kui võimas see kombinatsioon ründajate jaoks on ja miks peavad haavatavad ConnectWise'i kliendid selles märkimisväärselt kõrgendatud ohukeskkonnas enda kaitsmiseks viivitamatult tegutsema," lisas ta.

    ・Pärast ConnectWise'i esialgset avalikustamisteadet töötasid Huntress Security teadlased üleöö, et haavatavus maha võtta, mõista, kuidas see toimib, ja ärakasutamine uuesti luua.

    ・Hanslovan ütles, et tehniliste üksikasjade esialgne avalikustamine oli mõjuval põhjusel väga napp, kuid pärast PoC kasutuskoodi avaldamist oli kass nüüd korralikult kotist väljas. Ta kirjeldas ärakasutamist kui "piinlikult lihtsat".

    ・"Ma ei saa seda üle kanda, see jama on halb," ütles Huntressi tegevjuht Kyle Hanslovan. „Me räägime kümnest tuhandest serverist, mis juhivad sadu tuhandeid lõpp-punkte…. Selle tarkvara laialdane levimus ja selle haavatavus annab märku, et oleme kõigile tasuta lunavara künnisel. Haiglad, kriitiline infrastruktuur ja riigiasutused on osutunud ohus.

    3 — Võrdlused Kaseyaga

    ・2021. aasta Kaseya, mille REvili lunavarameeskond tabas, oli üks esimesi kõrgetasemelisi tarneahela juhtumeid, mis tõstis laialdast teadlikkust hallatavate teenustega seotud turvaprobleemidest.

    ・Rünnak, mis leidis aset USA-s 4. juuli pühade nädalavahetusel, mil turvameeskonnad nautisid seisakuid, sattus Kaseya lõpp-punkti ja võrguhaldusteenuse kaudu üle tuhande organisatsiooni ohtu.

    ・2023. aasta MOVEiti hallatud failiedastusjuhtum avaldas sarnast mõju, võimaldades Clop/Cl0p lunavarajõugul levida allavoolu paljudesse MOVEiti klientidega lepingu sõlminud organisatsioonidesse.

    ・Hanslovan ütles, et võrdlused mõlema juhtumiga olid sobivad, arvestades ConnectWise'i kasutavate MSP-de tohutut arvu.

    ・„Kahe otstarbega tarkvaraga tuleb arvestada; nagu Huntress, mille MOVEit suvel paljastas, pakub see sama sujuvat funktsionaalsust IT-meeskondadele, annab see ka häkkeritele, ”sõnas ta.

    ・"Kaugjuurdepääsutarkvaraga saavad pahalased lunavara lükata sama lihtsalt kui head poisid plaastrit. Ja kui nad hakkavad oma andmete krüptoreid välja suruma, oleksin valmis kihla vedama, et 90% ennetavast turvatarkvarast ei saa seda kinni, kuna see pärineb usaldusväärsest allikast.
    ​​
    https://www.computerweekly.com/news/...nectWise-vulns
    Sildid: connectwise, küberekspert
    Previous template Järgmine
    Töötlen...

    Me töötleme itfoorum.ee kasutajate isikuandmeid küpsiste ja muude tehnoloogiate abil, et pakkuda teenuseid, isikupärastatuid reklaame ja analüüsida veebilehe tegevust. Me võime jagada teatud teavet oma kasutajate kohta reklaami- ja analüüsipartneritega, näiteks Google Analytics. Lisateabe saamiseks vaadake meie privaatsuse lehte.

    Vajutades alloleval nupul"MA NÕUSTUN", nõustute meie privaatsuspoliitikaga ning meie isikuandmete töötlemise ja küpsiste tavadega. Samuti nõustute, et seda foorumit võidakse majutada väljaspool teie asukoha riiki, millega ühtlasi nõustute oma andmete kogumise, töötlemise ja salvestamisega kus see foorum parajasti majutatud on.

    Ma nõustun