يحذر الباحثون من أن ثغرة ConnectWise عالية الخطورة التي تتعرض للهجوم هي “سهلة بشكل محرج” للاستغلال
قال الرئيس التنفيذي لشركة Huntress: “لا أستطيع أن ألطف الأمر، فهذا القرف سيء”.
خبراء الأمن هم محذرًا من أن استغلال الثغرة الأمنية عالية الخطورة في أداة الوصول عن بُعد المستخدمة على نطاق واسع “تافهة وسهلة بشكل محرج”، حيث يؤكد مطور البرنامج أن المتسللين الخبيثين يستغلون الثغرة بشكل نشط.
تؤثر الثغرة الأمنية ذات التصنيف الخطير الأقصى على ConnectWise ScreenConnect (المعروف سابقًا باسم ConnectWise Control)، وهو برنامج وصول عن بعد شائع يسمح لموفري تكنولوجيا المعلومات والفنيين المُدارين بتقديم الدعم الفني عن بعد في الوقت الفعلي لأنظمة العملاء.
تم وصف الخلل على أنه ثغرة أمنية لتجاوز المصادقة والتي قد تسمح للمهاجم بسرقة البيانات السرية عن بعد من الخوادم الضعيفة أو نشر تعليمات برمجية ضارة، مثل البرامج الضارة. تم الإبلاغ عن الثغرة الأمنية لأول مرة إلى ConnectWise في 13 فبراير، وكشفت الشركة علنًا عن تفاصيل الخطأ في الاستشارة الأمنية المنشورة في 19 فبراير.
قالت ConnectWise في البداية إنه لا يوجد ما يشير إلى الاستغلال العام، لكنها أشارت في تحديث يوم الثلاثاء إلى أن ConnectWise أكدت أنها “تلقت تحديثات للحسابات المخترقة التي تمكن فريق الاستجابة للحوادث لدينا من التحقيق فيها وتأكيدها”.
شاركت الشركة أيضًا ثلاثة عناوين IP تقول إنها “تم استخدامها مؤخرًا من قبل جهات التهديد”.
وعندما سألتها أماندا لي، المتحدثة باسم ConnectWise، من موقع TechCrunch، رفضت الإفصاح عن عدد العملاء المتأثرين، لكنها أشارت إلى أن ConnectWise قد شهدت “تقارير محدودة” عن عمليات الاقتحام المشتبه بها. وأضاف لي أن 80% من بيئات العملاء تعتمد على السحابة ويتم تصحيحها تلقائيًا خلال 48 ساعة.
وعندما سُئل عما إذا كانت ConnectWise على علم بأي عملية تسريب للبيانات أو ما إذا كانت لديها الوسائل اللازمة لاكتشاف ما إذا تم الوصول إلى أي بيانات، قال لي “لم يتم إبلاغنا بأي عملية تسريب للبيانات”.
يقول موقع ConnectWise، ومقره فلوريدا، إنه يوفر تقنية الوصول عن بعد لأكثر من مليون شركة صغيرة ومتوسطة الحجم.
نشرت شركة Huntress للأمن السيبراني يوم الأربعاء تحليلًا لثغرة ConnectWise المستغلة بشكل نشط. صرح جون هاموند، الباحث الأمني في Huntress لـ TechCrunch، أن Huntress على دراية بالاستغلال “الحالي والنشط”، وترى علامات مبكرة على انتقال الجهات الفاعلة في مجال التهديد إلى “آليات أكثر تركيزًا في مرحلة ما بعد الاستغلال والاستمرارية”.
وقال هاموند: “إننا نشهد بالفعل أن الخصوم ينشرون بالفعل إشارات Cobalt Strike، بل ويقومون بتثبيت عميل ScreenConnect على الخادم المتأثر نفسه”، في إشارة إلى إطار الاستغلال الشائع Cobalt Strike، الذي يستخدمه الباحثون الأمنيون للاختبار، كما يسيء استخدامه المتسللون الخبيثون لاقتحام الشبكات. “يمكننا أن نتوقع المزيد من هذه التنازلات في المستقبل القريب جدًا.”
وأضاف الرئيس التنفيذي لشركة Huntress كايل هانسلوفان أن القياس عن بعد لعملاء Huntress يُظهر إمكانية الرؤية في أكثر من 1600 خادم ضعيف.
“لا أستطيع أن ألطف الأمر – هذا القرف سيء. “نحن نتحدث عن ما يزيد عن عشرة آلاف خادم يتحكم في مئات الآلاف من نقاط النهاية”، قال هانسلوفان لـ TechCrunch، مشيرًا إلى أن ما يزيد عن 8800 خادم ConnectWise لا يزال عرضة للاستغلال.
وأضاف هانسلوفان أنه نظرًا للانتشار الكبير لهذا البرنامج والوصول الذي توفره هذه الثغرة الأمنية، فإننا على أعتاب برنامج فدية مجاني للجميع.
أصدرت ConnectWise تصحيحًا للثغرة الأمنية التي تم استغلالها بشكل نشط، وتحث مستخدمي ScreenConnect داخل الشركة على تطبيق الإصلاح على الفور. أصدرت ConnectWise أيضًا إصلاحًا لثغرة أمنية منفصلة تؤثر على برنامج سطح المكتب البعيد الخاص بها. أخبر لي موقع TechCrunch أن الشركة لم تر أي دليل على استغلال هذا الخلل.
في وقت سابق من هذا العام، حذرت الوكالات الحكومية الأمريكية CISA ووكالة الأمن القومي من أنها لاحظت “حملة إلكترونية واسعة النطاق تنطوي على الاستخدام الضار لبرامج المراقبة والإدارة المشروعة عن بعد (RMM)” – بما في ذلك ConnectWise SecureConnect – لاستهداف العديد من الفروع التنفيذية المدنية الفيدرالية الوكالات.
ولاحظت الوكالات الأمريكية أيضًا أن المتسللين يسيئون استخدام برنامج الوصول عن بعد من AnyDesk، والذي اضطر في وقت سابق من هذا الشهر إلى إعادة تعيين كلمات المرور وإلغاء الشهادات بعد العثور على أدلة على أنظمة الإنتاج المخترقة.
ردًا على استفسارات TechCrunch، قال إريك جولدستين، مساعد المدير التنفيذي لـ CISA للأمن السيبراني: “CISA على علم بوجود ثغرة أمنية تم الإبلاغ عنها تؤثر على ConnectWise ScreenConnect ونحن نعمل على فهم الاستغلال المحتمل من أجل توفير التوجيه والمساعدة اللازمين.”
هل أنت متأثر بثغرة ConnectWise؟ يمكنك الاتصال بـ Carly Page بشكل آمن على Signal على الرقم +441536 853968 أو عبر البريد الإلكتروني على carly.page@techcrunch.com. يمكنك أيضًا الاتصال بـ TechCrunch عبر SecureDrop.
