Зловмисники активно використовують вразливість ScreenConnect для зламу неоновлених серверів з метою розгортання програми-здирника. Шкідливе ПЗ розроблене і експлуатується учасниками потужного міжнародного угруповання хакерів під назвою «LockBit».

Вразливість обходу аутентифікації CVE-2024−1709 (оцінка CVSS: 10.0) стала об’єктом активної експлуатації з 20 лютого, лише через день після того, як компанія ConnectWise випустила оновлення безпеки. Також було усунуто вразливість обходу шляху (path-traversal) CVE-2024−1708 (оцінка CVSS: 8.4), що призводить до віддаленого виконання коду. Атаки можуть здійснюватися дистанційно та не вимагають взаємодії з користувачем.

Платформа моніторингу загроз Shadowserver раніше повідомила, що 643 IP-адреси експлуатують CVE-2024−1709. Shodan відстежує понад 8659 серверів ScreenConnect, з яких тільки 980 працюють на оновленій версії ScreenConnect 23.9.8.

За даними Sophos X-Ops, під час атак зловмисники розгортають програму-вимагач LockBit на системах жертв, отримуючи доступ через експлуатацію зазначених недоліків ScreenConnect. Компанія Huntress підтвердила атаки на місцеві органи влади, екстрену службу та медичну клініку з використанням уразливості CVE-2024−1709.

LockBit з’явилася у 2019 році. До 2022 року ця програма-вимагач стала найпоширенішою у світі. Її розробники пропонували своє рішення як RaaS (Ransomware-as-a-Service) — це модель, за якої шкідливе ПЗ поширюється як франшиза.

Источник: noworries.news