Эксперты предупредили, что критическая уязвимость в ConnectWise ScreenConnect (CVE-2024-1709), получившая название SlashAndGrab, уже активно используется для распространения вымогательского ПО и другой малвари.
В середине февраля разработчики ConnectWise уведомили клиентов о выходе патчей, устранявших критическую ошибку обхода аутентификации и еще одну уязвимость типа path traversal. На тот момент этим багам еще не было присвоены идентификаторы CVE, но сообщалось, что они затрагивают все версии ScreenConnect.
Буквально на следующий день после выхода этого предупреждения компания сообщила, что уязвимости уже пытаются эксплуатировать хакеры, и теперь проблемы отслеживаются как CVE-2024-1709 (обход аутентификации) и CVE-2024-1708 (path traversal). Серьезность ситуации побудила компанию временно отметить все лицензионные ограничения, чтобы даже клиенты с истекшими лицензиями могли обновиться до последней версии и защитить свои серверы от атак.
На прошлой неделе специалисты компании Huntress опубликовали технический анализ этих уязвимостей, присвоив им название SlashAndGrab. По словам исследователей, уязвимость обхода аутентификации позволяет злоумышленникам без труда создать новую учетную запись с правами администратора, а затем использовать path traversal баг для выполнения произвольного кода. Стоит отметить, что в это время в сети уже были доступны PoC-эксплоиты для этих угроз.
Теперь же аналитики Huntress и Sophos пишут, что уязвимости SlashAndGrab используются для доставки в системы жертв вымогателя LockBit, инструментов удаленного доступа, майнеров криптовалюты, маяков Cobalt Strike и создания SSH-туннелей. По их словам, в числе атакованных организаций уже числятся муниципальные власти, экстренные службы и медицинские организации.
При этом сначала в Sophos отметили, что распространение LockBit было зафиксировано уже после операции Cronos, проведенной правоохранителями на прошлой неделе. Напомним, что власти скомпрометировали инфраструктуру группировки LockBit, сообщили об нескольких арестах, конфискации более 200 криптовалютных кошельков и выпустили инструмент расшифровки и бесплатного восстановления файлов.
Затем в компании уточнили, что вымогательское ПО, похоже, было основано на базе утекших в 2022 году исходных кодов LockBit. Так, некоторые полезные нагрузки были идентифицированы как buhtiRansom, и в вымогательской записке не был никаких указаний на саму LockBit.
«Мы не можем напрямую связать это с группой LockBit, но очевидно, что Lockbit имеет большой охват, который распространяется на инструментарии, различные партнерские группы и филиалы, которые не были полностью уничтожены даже после масштабного отключения, проведенного правоохранительными органами», — соглашаются с мнением коллег в Huntress.
По данным специалистов Shadowserver, в сети по-прежнему можно обнаружить более 8200 уязвимых экземпляров ScreenConnect, и большинство из них находятся в США, Канаде и Великобритании.
«CVE-2024-1709 широко используется в атаках. На сегодняшний день наши системы обнаружили 643 IP-адреса, с которых исходят попытки эксплуатации», — сообщили в Shadowserver.