Foto: ConnectWise
Dieser Beitrag wurde am 23.2.2024 aktualisiert und um Details zu den Sicherheitslücken sowie Erkenntnisse zur Bedrohungslage und Empfehlungen von Security-Herstellern ergänzt.
ConnectWise rät Kunden dringend, ScreenConnect-Server sofort gegen einen Fehler mit maximalem Schweregrad zu patchen, der für Angriffe mittels Remote-Code-Execution (RCE) ausgenutzt werden kann. Der Anbieter hat dazu den Security-Fix ScreenConnect 23.9.8 bereitgestellt.
"Es gibt keine Hinweise darauf, dass diese Schwachstellen bereits ausgenutzt wurden, aber On-Premises-Partner müssen sofort Maßnahmen ergreifen, um diese identifizierten Sicherheitsrisiken anzugehen", schrieb das Unternehmen bei Bekanntgabe der Sicherheits-Updates. Die Schwachstellen werden inzwischen als CVE-2024-1709 (CVSS-Score 10,0) und CVE-2024-1708 (CVSS-Score 8,4) katalogisiert.
Die schwerere Schwachstelle steckt in der Authentifizierungsumgehung. Angreifer können sie ausnutzen, um mittels vergleichsweise einfachen Angriffen ohne Interaktion der legitimen Benutzer, Zugriff auf vertrauliche Daten zu erhalten oder beliebigen Code aus der Ferne auf dahinterliegenden Servern auszuführen.
Hat der Angreifer zudem den ScreenConnect-Server einmal kompromittiert, kann er die Fernüberwachungs- und Verwaltungssoftware steuern können und über andere Agenten, verbundene Clients und Endpunkte weiteren Schaden anrichten.
Damit wären ähnliche Auswirkungen wie bei den Angrifffen auf den ConnectWise-Mitbewerber Kaseya im Sommer 2021 denkbar. Damas waren laut BSI in Deutschland "mehrere Tausend IT-Geräte verschlüsselt" und waren auch IT-Dienstleister hierzulande betroffen. Bereits damals war absehbar, dass Anbieter von IT-Management-Software für MSPs künftig ein attraktives Ziel für Angrefer sein werden. Schließlich können sie, wenn sie einmal Zugang erschlichen und die erforderlichen Benutzerrechte erworben haben, darüber eine Vielzahl anderer Firmen sehr effektiv angreifen.
Experten des Cybersicherheitsunternehmen Huntress haben eigenen Angaben zufolge bereits einen Proof-of-Concept-Exploit erstellt, der es erlaubt die Authentifizierung auf ungepatchten ScreenConnect-Servern zu umgehen. Auf der Plattform Censys hätten sie über 8.800 Server zu finden, die für den von ihnen konzipierten Angriff anfällig seien.
ScreenConnect-Nutzer rücken ins Visier der Angreifer
Erwartungsgemäß lassen die Angreifer nicht lange warten, bis sie so ein attraktives Ziel ins Visier nehmen. Bevor ConnectWise die Schwachstellen offenlegte, beobachtet Sophos "eine moderate Anzahl täglicher Telemetrieeinträge, bei denen Bedrohungsakteure versuchten, Malware bereitzustellen oder einen böswilligen Befehl auf einem Kundencomputer auszuführen, auf dem ScreenConnect ausgeführt wurde." Seit dem 21. Februar hat sich jedoch das tägliche Volumen an Telemetrieereignissen mit ScreenConnect mehr als verdoppelt. Experten von Bitdefender bestätigen diese Beobachtung grundsätzlich.
Foto: Sophos
In einem Bericht von Sophos X-Ops über die Sicherheitslücken bei ScreenConnect stellen die Sicherheitsforscher auch einen Zusammenhang mit Lockbit fest. "Wir haben in den letzten 48 Stunden mehrere Angriffe analysiert, die sich die ScreenConnect-Sicherheitslücke zu Nutze gemacht haben", sagte Christopher Budd, Principal Researcher bei Sophos X-Ops, dazu am Freitag.
Am bemerkenswertesten war für ihn eine Malware, die mit dem im Jahr 2022 geleakten Ransomware-Builder-Tool "Lockbit 3" erstellt wurde. "Sie stammt möglicherweise nicht von den eigentlichen Lockbit-Entwicklern", erklärt Budd. "Aber wir konnten auch Remote Access Trojaner (RATS), Info- und Passwort-Stealer sowie andere Ransomware entdecken. All dies zeigt, dass viele unterschiedliche Angreifer ScreenConnect im Visier haben",
Sophos-Sprecher Budd rät daher: "Jeder, der ScreenConnect nutzt, sollte Maßnahmen ergreifen, um anfällige Server und Clients sofort zu isolieren, sie zu patchen und auf Anzeichen einer Kompromittierung zu prüfen." Detaillirtere Empfehlungen geben unter anderem Sophos und Bitdefender in ihren jeweiligen Berichten.