I rischi dell’accesso remoto
Le vulnerabilità CVE-2024-1708 e CVE-2024-1709 di ScreenConnect hanno aperto la strada a nuovi rischi per la sicurezza informatica. In questo articolo, esploreremo le implicazioni di queste vulnerabilità, le modalità di sfruttamento e forniremo suggerimenti e best practice per mitigare i rischi associati.
Opportunità per gli attaccanti: ScreenConnect nel mirino
Le vulnerabilità di ScreenConnect hanno attirato l’attenzione di attaccanti di tutto il mondo, che hanno sfruttato queste falle per consegnare malware, condurre campagne di phishing persistenti e lanciare attacchi ransomware. Anche se ConnectWise ha rilasciato patch per entrambe le vulnerabilità, gli attaccanti continuano a sfruttare nuove vie di accesso.
Attacchi di malware e phishing
Una settimana dopo il rapporto sulle vulnerabilità, sono stati scoperti attacchi di phishing mirati al settore sanitario e agli utenti di criptovalute. Questi attacchi miravano a sfruttare la fiducia degli utenti in ScreenConnect per consegnare malware e condurre campagne di phishing.
Attacchi ransomware
Gruppi ransomware come Black Basta e Bl00dy hanno iniziato a sfruttare le vulnerabilità di ScreenConnect per lanciare attacchi ransomware. Questi attacchi miravano a sfruttare le falle di sicurezza per infiltrarsi nelle reti aziendali e richiedere riscatti per il ripristino dei sistemi.
Attacchi di Initial Access Brokers e UNC5274
Nel mese di marzo, gruppi di Initial Access Brokers e UNC5274 hanno iniziato a sfruttare le vulnerabilità di ScreenConnect e la vulnerabilità CVE-2023-46747 di F5 BIG-IP per attaccare attivamente le organizzazioni. Questi attacchi miravano a sfruttare le vulnerabilità per ottenere l’accesso alle reti aziendali e compromettere i sistemi.
Compromissioni di ScreenConnect
Le vulnerabilità di ScreenConnect hanno consentito agli attaccanti di bypassare l’autenticazione e di eseguire codice remoto, mettendo a rischio la sicurezza delle reti aziendali.
CVE-2024-1708
La vulnerabilità CVE-2024-1708 ha un punteggio CVSS 3.1 di 8.4 su 10 ed è stata assegnata a ScreenConnect versione 23.9.7 e a tutte le versioni precedenti. Questa vulnerabilità di traversal del percorso consente agli attaccanti di eseguire codice remoto e scrivere file al di fuori della directory di estensione appropriata.
CVE-2024-1709
La vulnerabilità CVE-2024-1709 ha un punteggio CVSS 3.1 di 10 su 10 ed è stata classificata come “critica”. Questa vulnerabilità di bypass dell’autenticazione sfrutta la natura testuale del file SetupWizard.aspx e consente agli attaccanti di accedere al wizard di configurazione di ScreenConnect, anche su istanze già configurate.
Problemi, patch e persistenza
Le vulnerabilità di ScreenConnect hanno creato un punto di ingresso ideale per attaccanti di vario tipo, sia per scopi finanziari che per attività di spionaggio statale. Anche dopo il rilascio delle patch, il numero di sistemi vulnerabili rimane elevato, consentendo agli attaccanti di evolvere le loro tecniche di attacco.
Mitigazione dei rischi: suggerimenti e best practice
Per mitigare i rischi associati alle vulnerabilità di ScreenConnect, è importante adottare le seguenti misure:
- Patching: Applicare tempestivamente le patch rilasciate da ConnectWise per entrambe le vulnerabilità.
- Monitoraggio: Monitorare attivamente la rete aziendale alla ricerca di attività sospette e segnali di compromissione.
- Autenticazione: Implementare l’autenticazione a più fattori e limitare l’accesso alle risorse critiche.
- Formazione: Formare il personale sull’importanza della sicurezza informatica e su come riconoscere e rispondere agli attacchi.
- Soluzioni di sicurezza: Implementare soluzioni di sicurezza avanzate, come firewall di nuova generazione, sistemi di rilevamento e risposta alle minacce e strumenti di analisi del traffico.
- Pianificazione di emergenza: Preparare un piano di risposta agli incidenti e testarlo regolarmente.
Fonte: https://securityintelligence.com/articles/remote-access-risks-cve20241708-cve20241709/
