一家研究机构表示,ConnectWise ScreenConnect 中一个关键的身份验证绕过漏洞,已被用于 Play 勒索病毒攻击,以及涉及 LockBit 恶意软件的尝试供应链攻击。
据 AtBay 网络研究团队在周四发表的文章称,此次攻击针对了一家托管服务提供商 (MSP),意在通过其客户进行更大的供应链攻击。受攻击的客户中包括一个非营利组织,网络罪犯试图部署 LockBit 勒索病毒。
然而,AtBay 报告称,此次攻击在文件被加密之前,已被 MSP 的安全操作中心 (SOC) 阻止,未对客户造成进一步影响。
“考虑到在该组织的系统中发现了加密可执行文件,可以安全地说威胁行为者非常接近。” AtBay 网络研究团队的代表在电子邮件中告诉 SC Media。“如果 MSP 没有发出通知,该组织可能不会意识到出现问题,除非系统被加密或者威胁者自己联系。”
在另一个案例中,一家金融公司在尝试应用 ScreenConnect 补丁时发现被入侵,随后遭到 Play 勒索病毒攻击。尽管立即采取了缓解措施,威胁行为者仍成功加密了公司的整个存储区域网络 (SAN) 并提出了赎金要求。
据 AtBay 文章披露,描述的两次攻击均发生在 ConnectWise 于 II 月 19 日披露并发布针对两个 ScreenConnect 漏洞的补丁的 72 小时内。最严重的漏洞是一个关键的身份验证绕过漏洞,被跟踪为 CVE20241709,具有最高 CVSS 分数 10。
“类似于拥有主钥匙,此漏洞允许不法分子在该平台上生成自己的管理用户,从而授予他们完全控制权。” AtBay 网络研究团队在文章中写道。
另一种漏洞被跟踪为 CVE20241708,可能使访问受到限制的子目录之外的文件成为可能,尽管 Huntress 研究员注意到 CVE20241709 提供的管理访问权限允许恶意代码在系统的任何地方执行。
“该软件的普遍存在及此漏洞所赋予的访问权限表明,我们正处于一个勒索病毒自由竞争的边缘。” Huntress 首席执行官 Kyle Hanslovan 于上周告诉 SC Media。
自 II 月 21 日以来,Sophos XOps 研究人员及 Huntress 和 AtBay 证实了针对 ConnectWise ScreenConnect 漏洞的 LockBit 勒索病毒活动。
尽管上周早些时候国际当局对 LockBit 基础设施进行了重大打击,但 2022 年 9 月 LockBit 30 建造者的泄露意味着其他威胁行为者可能在泄露后用于多起已观察到的攻击中。
旋风加速器apkAtBay 确认,LockBit 30 可执行文件 (LB3exe) 在对一家 MSP 及其客户的攻击中被部署,但在其启动之前,通过终端检测和响应 (EDR) 软件已将其删除。
