最后更新于2024年3月4日星期一21:18:46 GMT

2月19日, 2024 ConnectWise披露了他们的ScreenConnect远程访问软件中的两个漏洞. 这两个漏洞都影响screenconnect23.9.7点及更早. 这两个漏洞在披露时都没有指定CVE, 但从2月21日起, cve已经被分配到ConnectWise的报告中提到的两个问题 咨询:

ScreenConnect is popular remote access software used by many organizations globally; it has also been 被对手滥用 在过去. 似乎有一些 7500 +实例 在公共互联网上曝光的屏幕连接. 漏洞不是 当它们被披露时,已知会在野外被利用,但截至2月20日晚上, ConnectWise已经 表示 他们证实了利用这些漏洞所造成的危害. Rapid7管理检测和响应(耐多药)在客户环境中也得到了成功的应用.

安全新闻媒体和安全供应商对ScreenConnect漏洞发出了强烈警告, 很大程度上是因为攻击者有可能利用易受攻击的ScreenConnect实例,然后将勒索软件推送到下游客户端. 对于使用ScreenConnect远程管理客户端环境的托管服务提供商(msp)或托管安全服务提供商(msp)来说,这可能是一个特别关注的问题.

缓解指导

所有版本的ConnectWise屏幕连接23之前.9.8容易受到这些(CVE-less)问题的影响. 在其环境中拥有本地ScreenConnect实例的客户应该应用23.9.8更新 在紧急情况下,每 ConnectWise的指导. 该供应商还在其建议中发布了几个可供组织查找的入侵指标(ioc). Rapid7强烈建议即使在应用了补丁之后也要寻找妥协的迹象.

ConnectWise还取消了许可限制,允许合作伙伴更新到受支持的系统, 他们做到了 更新他们的建议 请注意以下事项:“ConnectWise已针对未打补丁的漏洞推出了额外的缓解措施, 如果实例不在版本23上,则挂起实例的本地用户.9.8岁或以后. 如果发现您的实例使用的是过时版本, 将发送一个警报,其中包含有关如何执行必要操作以释放服务器的说明."

Rapid7客户

InsightVM和expose的客户可以在2月21日发布的内容中使用经过验证的漏洞检查来评估他们对这些漏洞的暴露程度.

通过Rapid7扩展的检测规则库,insighttidr和Managed 检测和响应客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent,以确保对可疑进程的可见性和适当的检测覆盖率. 以下是部署的检测和对与这些漏洞相关的活动发出警报的非详尽列表:

  • 可疑的Web请求-可能的ConnectWise ScreenConnect利用
  • 攻击者技术-通过屏幕连接远程访问
  • 攻击者技术-命令执行通过屏幕连接
  • 可疑进程-屏幕连接与RunRole参数
  • 攻击者技术- ConnectWise ScreenConnect漏洞添加新用户

注意: 为了让Rapid7对规则发出警报 攻击者技术:ConnectWise ScreenConnect漏洞添加新用户, 客户必须确保主机的内核对象高级安全审计策略设置配置为记录Windows EventID 4663,并在ScreenConnect的目录上设置SACL. 有关如何配置高级审计策略的更多信息可供参考 在这里.

迅猛龙的神器 可以在这里 协助寻找妥协的迹象. Metasploit模块是 可以在这里 (等待最终的合并和发布).

更新

2024年2月21日: 更新到包括cve (cve - 2024 - 1708, cve - 2024 - 1709)和注意事项 野外开发. Rapid7 耐多药也观察到在客户环境中的利用. 更新了InsightVM和expose客户的可用性漏洞检查.

2024年2月22日: 为insighttidr和耐多药客户添加了新的检测规则(攻击者技术:ConnectWise ScreenConnect漏洞添加新用户)

2024年2月23日: 迅猛龙神器现在可用,Metasploit模块正在开发中. 对ConnectWise咨询指南的更改已添加到 缓解指导 本博客的一部分.