سوءاستفاده از آسیب‌پذیری‌های بحرانی ScreenConnect برای انتشار باج‌افزار

شرکت سوفوس (Sophos)، گزارشی را منتشر کرده که بر طبق آن، مهاجمان با سوءاستفاده از آسیب‌پذیری‌های بحرانی CVE-2024-1708 و CVE-2024-1709 در نرم‌افزار ScreenConnect، اقدام به نفوذ به سرورها و توزیع باج‌افزار در شبکه قربانیان می‌کنند.

ConnectWise ScreenConnect، یک نرم‌افزار تجاری دسترسی از راه دور است. در ایران نیز برخی شرکت‌ها از آن برای اتصال از راه دور به مشتریان، در حین ارائه خدمات پشتیبانی بهره می‌گیرند.

CVE-2024-1708 و CVE-2024-1709، باگ‌هایی امنیتی در ScreenConnect هستند که شرکت کانکت‌وایز (ConnectWise) در 1 اسفند با انتشار نسخه جدید و این توصیه‌نامه اقدام به ترمیم آنها کرد.

CVE-2024-1709 ضعفی از نوع Authentication Bypass است که بر طبق الگوی CVSS به آن شدت 10 از 10 تخصیص داده شده است. CVE-2024-1708 نیز ضعفی از نوع Path Traversal است که شدت آن 8.4 از 10 گزارش شده است.

از یک روز پس از انتشار توصیه‌نامه کانت‌وایز، چندین مورد از سوءاستفاده مهاجمان از آسیب‌پذیری CVE-2024-1709 گزارش شده است.

بر اساس آمار جستجوگر Shodan، تعداد قابل‌توجهی سرور میزبان نسخه آسیب‌پذیر ScreenConnect همچنان بر روی اینترنت قابل‌دسترس بوده و شبکه‌های متصل به آنها در معرض خطر نفوذ قرار دارند.

در جدیدترین مورد، شرکت سوفوس به بررسی حملاتی پرداخته که در جریان آنها، مهاجمان با بهره‌جویی از دو آسیب‌پذیری CVE-2024-1708 و CVE-2024-1709، شبکه قربانیان را به گونه‌ای از باج‌افزار LockBit آلوده می‌کنند.

مشروح گزارش سوفوس با عنوان ConnectWise ScreenConnect attacks deliver malware در لینک زیر قابل دریافت و مطالعه است:

https://news.sophos.com/en-us/2024/02/23/connectwise-screenconnect-attacks-deliver-malware

این مهاجمان در حالی اقدام به توزیع گونه‌ای از LockBit می‌کنند که طی یک هفته اخیر منابع مختلف از فروپاشی این باج‌افزار خبر داده‌اند. حتی ابزاری که حاوی بیش از یک‌هزار کلید رمزگشایی باج‌افزار LockBit است در اینجا در دسترس قرار گرفته است. اکنون، به نظر می‌رسد که گونه‌هایی از LockBit که تحت کنترل گروه‌های دیگر از مهاجمان قرار دارند همچنان فعال بوده و به حیات خود ادامه می‌دهند.

LockBit از پرسروصداترین و مخرب‌ترین باج‌افزارهای چهار سال اخیر بوده است. همچنین از جمله باج‌افزارهایی است که همواره در ایران نیز قربانی داشته و موارد متعددی از آلودگی به آن از سوی شرکت‌های مطرح و صاحب‌نام ایرانی به شرکت مهندسی شبکه گستر گزارش شده است.