يقول الباحثون إن الأخطاء الأمنية سهلة الاستغلال في برنامج ConnectWise للوصول عن بعد تتعرض الآن لهجوم جماعي

يقول باحثون أمنيون إن اثنين من العيوب سهلة الاستغلال في أداة الوصول عن بعد الشهيرة التي تستخدمها أكثر من مليون شركة حول العالم يتم الآن استغلالهما على نطاق واسع، حيث يستغل المتسللون نقاط الضعف لنشر برامج الفدية وسرقة البيانات الحساسة.

قالت شركة Mandiant العملاقة للأمن السيبراني في منشور يوم الجمعة إنها “حددت استغلالًا جماعيًا” للعيوب في ConnectWise ScreenConnect، وهي أداة وصول عن بعد شائعة تسمح لتكنولوجيا المعلومات والفنيين بتقديم الدعم الفني عن بعد مباشرة على أنظمة العملاء عبر الإنترنت.

تشتمل الثغرات الأمنية على CVE-2024-1709، وهي ثغرة أمنية لتجاوز المصادقة والتي اعتبرها الباحثون “سهلة بشكل محرج” للمهاجمين لاستغلالها، وCVE-2024-1708، وهي ثغرة أمنية في اجتياز المسار تسمح للمتسللين بزرع تعليمات برمجية ضارة عن بعد، مثل البرامج الضارة. في حالات عملاء ConnectWise الضعيفة.

كشفت ConnectWise لأول مرة عن العيوب في 19 فبراير وحثت العملاء المحليين على تثبيت تصحيحات الأمان على الفور. ومع ذلك، لا تزال الآلاف من الخوادم عرضة للخطر، وفقًا لبيانات مؤسسة Shadowserver، ويمكن لكل خادم من هذه الخوادم إدارة ما يصل إلى 150000 جهاز عميل.

وقالت شركة مانديانت إنها حددت “مختلف الجهات الفاعلة في مجال التهديد” التي تستغل العيبين، وحذرت من أن “العديد منهم سينشرون برامج الفدية ويقومون بعمليات ابتزاز متعددة الأوجه”، لكنها لم تنسب الهجمات إلى مجموعات تهديد محددة.

قالت شركة الأمن السيبراني الفنلندية WithSecure في تدوينة يوم الاثنين إن باحثيها لاحظوا أيضًا “استغلالًا جماعيًا” لعيوب ScreenConnect من جهات تهديد متعددة. وقالت WithSecure إن هؤلاء المتسللين يستغلون نقاط الضعف لنشر برامج سرقة كلمات المرور والأبواب الخلفية وفي بعض الحالات برامج الفدية.

قالت WithSecure إنها لاحظت أيضًا أن المتسللين يستغلون العيوب لنشر إصدار Windows البديل من الباب الخلفي KrustyLoader على أنظمة ScreenConnect غير المصححة، وهو نفس النوع من الباب الخلفي الذي زرعه المتسللون مؤخرًا مستغلين نقاط الضعف في برنامج VPN الخاص بشركة Ivanti. وقالت شركة WithSecure إنها لا تستطيع حتى الآن أن تنسب النشاط إلى مجموعة تهديد معينة، على الرغم من أن آخرين ربطوا النشاط السابق بمجموعة قرصنة مدعومة من الصين تركز على التجسس.

قال باحثو الأمن في Sophos وHuntress الأسبوع الماضي إنهم لاحظوا أن عصابة LockBit Ransomware تشن هجمات تستغل ثغرات ConnectWise – بعد أيام فقط من عملية دولية لإنفاذ القانون زعمت أنها عطلت عمليات عصابة الجرائم الإلكترونية سيئة السمعة المرتبطة بروسيا.

قالت Huntress في تحليلها إنها لاحظت منذ ذلك الحين أن “عددًا من الخصوم” يستفيدون من عمليات استغلال الفدية لنشر برامج الفدية، كما أن “عددًا كبيرًا” من الخصوم الذين يستخدمون هذه البرمجيات ينشرون برامج تعدين العملات المشفرة، ويقومون بتثبيت أدوات وصول عن بعد “مشروعة” إضافية للحفاظ على الوصول المستمر إلى شبكة الضحية، وإنشاء مستخدمين جدد على الأجهزة المخترقة.

لم يُعرف بعد عدد عملاء ConnectWise ScreenConnect أو المستخدمين النهائيين المتأثرين بهذه الثغرات الأمنية، ولم يرد المتحدثون باسم ConnectWise على أسئلة TechCrunch. يدعي موقع الشركة على الويب أن المنظمة توفر تقنية الوصول عن بعد لأكثر من مليون شركة صغيرة ومتوسطة الحجم تدير أكثر من 13 مليون جهاز.

في يوم الأحد، ألغت ConnectWise مقابلة تم الترتيب لها مسبقًا بين TechCrunch ورئيس قسم تكنولوجيا المعلومات باتريك بيجز، والتي كان من المقرر إجراؤها يوم الاثنين. ولم تذكر شركة ConnectWise سببًا للإلغاء في اللحظة الأخيرة.

هل أنت متأثر بثغرة ConnectWise؟ يمكنك الاتصال بـ Carly Page بشكل آمن على Signal على الرقم +441536 853968 أو عبر البريد الإلكتروني على carly.page@techcrunch.com. يمكنك أيضًا الاتصال بـ TechCrunch عبر SecureDrop.