Last updated at Mon, 04 Mar 2024 21:18:46 GMT
On February 19, 2024 ConnectWise披露了他们的ScreenConnect远程访问软件中的两个漏洞. Both vulnerabilities affect ScreenConnect 23.9.7 and earlier. 这两个漏洞在披露时都没有指定CVE, but as of February 21, cve已经被分配到ConnectWise的报告中提到的两个问题 advisory:
- CVE-2024-1709: 使用替代路径或通道的身份验证绕过(CVSS 10)
- CVE-2024-1708: A path traversal issue (CVSS 8.4)
ScreenConnect is popular remote access software used by many organizations globally; it has also been abused by adversaries in the past. There appear to be some 7,500+ instances of ScreenConnect exposed to the public internet. The vulnerabilities were not 当它们被披露时,已知会在野外被利用,但截至2月20日晚上, ConnectWise has indicated 他们证实了利用这些漏洞所造成的危害. Rapid7管理检测和响应(MDR)在客户环境中也得到了成功的应用.
安全新闻媒体和安全供应商对ScreenConnect漏洞发出了强烈警告, 很大程度上是因为攻击者有可能利用易受攻击的ScreenConnect实例,然后将勒索软件推送到下游客户端. 对于使用ScreenConnect远程管理客户端环境的托管服务提供商(msp)或托管安全服务提供商(msp)来说,这可能是一个特别关注的问题.
Mitigation guidance
所有版本的ConnectWise屏幕连接23之前.9.8 are vulnerable to these (CVE-less) issues. 在其环境中拥有本地ScreenConnect实例的客户应该应用23.9.8 update on an emergency basis, per ConnectWise’s guidance. 该供应商还在其建议中发布了几个可供组织查找的入侵指标(ioc). Rapid7强烈建议即使在应用了补丁之后也要寻找妥协的迹象.
ConnectWise还取消了许可限制,允许合作伙伴更新到受支持的系统, and they have updated their advisory 请注意以下事项:“ConnectWise已针对未打补丁的漏洞推出了额外的缓解措施, 如果实例不在版本23上,则挂起实例的本地用户.9.8 or later. 如果发现您的实例使用的是过时版本, 将发送一个警报,其中包含有关如何执行必要操作以释放服务器的说明."
Rapid7 customers
InsightVM和expose的客户可以在2月21日发布的内容中使用经过验证的漏洞检查来评估他们对这些漏洞的暴露程度.
通过Rapid7扩展的检测规则库,insighttidr和Managed Detection and Response客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent,以确保对可疑进程的可见性和适当的检测覆盖率. 以下是部署的检测和对与这些漏洞相关的活动发出警报的非详尽列表:
- 可疑的Web请求-可能的ConnectWise ScreenConnect利用
- 攻击者技术-通过屏幕连接远程访问
- 攻击者技术-命令执行通过屏幕连接
- 可疑进程-屏幕连接与RunRole参数
- 攻击者技术- ConnectWise ScreenConnect漏洞添加新用户
Note: In order for Rapid7 to alert on the rule 攻击者技术:ConnectWise ScreenConnect漏洞添加新用户, 客户必须确保主机的内核对象高级安全审计策略设置配置为记录Windows EventID 4663,并在ScreenConnect的目录上设置SACL. 有关如何配置高级审计策略的更多信息可供参考 here.
A Velociraptor artifact is available here to assist in hunting for indicators of compromise. A Metasploit module is available here (pending final merge and release).
Updates
February 21, 2024: 更新到包括cve (CVE-2024-1708, CVE-2024-1709)和注意事项 exploitation in the wild. Rapid7 MDR也观察到在客户环境中的利用. 更新了InsightVM和expose客户的可用性漏洞检查.
February 22, 2024: 为insighttidr和MDR客户添加了新的检测规则(攻击者技术:ConnectWise ScreenConnect漏洞添加新用户)
February 23, 2024: 迅猛龙神器现在可用,Metasploit模块正在开发中. 对ConnectWise咨询指南的更改已添加到 Mitigation guidance section of this blog.
