{"id":292543,"date":"2024-02-21T11:25:19","date_gmt":"2024-02-21T10:25:19","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292543"},"modified":"2024-03-21T10:02:56","modified_gmt":"2024-03-21T09:02:56","slug":"kritische-schwachstelle-in-connectwise-remote-software-screenconnect-feb-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/21\/kritische-schwachstelle-in-connectwise-remote-software-screenconnect-feb-2024\/","title":{"rendered":"Kritische Schwachstelle in ConnectWise-Remote-Software ScreenConnect (Feb. 2024)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/02\/22\/critical-vulnerability-in-connectwise-remote-software-screenconnect-feb-2024\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Hat jemand die ScreenConnect des Anbieters ConnectWise im Einsatz? In der Remote Desktop-Software wurde eine kritische Schwachstelle (CVSS 3.1 10.0) entdeckt, die sofort geschlossen werden sollte. Ein erster Exploit f\u00fcr diese Schwachstelle ist bereits verf\u00fcgbar. Hier ein schneller \u00dcberblick f\u00fcr Administratoren, die den Einsatz dieser Software verantworten bzw. verwalten. Ich w\u00fcrde sagen: Da brennt die H\u00fctte. <strong>Erg\u00e4nzung:<\/strong> In Deutschland k\u00f6nnten 60 Instanzen \"bald Besucher bekommen\". Und es gibt Hinweise, dass LockBit verwundbare ScreenConnect-Server angegriffen und infiziert hat.<\/p>\n<p><!--more--><\/p>\n<h2>ConnectWise ScreenConnect<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/8fc685484eb64674b0595188d2757883\" alt=\"\" width=\"1\" height=\"1\" \/><a href=\"https:\/\/en.wikipedia.org\/wiki\/ConnectWise_ScreenConnect\" target=\"_blank\" rel=\"noopener\">ConnectWise Control<\/a>, fr\u00fcher Screenconnect, ist eine selbst gehostete Remote-Desktop-Softwareanwendung. Sie wurde urspr\u00fcnglich von Elsinore Technologies im Jahr 2008 unter dem Namen ScreenConnect entwickelt und ist nun im Besitz von <a href=\"https:\/\/www.connectwise.com\/\" target=\"_blank\" rel=\"noopener\">ConnectWise Inc<\/a>. Die reklamieren der f\u00fchrende Anbieter f\u00fcr IT-Software f\u00fcr die Industrie zu sein. Deren Produkte d\u00fcrften in Unternehmen also im Einsatz sein.<\/p>\n<h2>Kritische ConnectWise-Schwachstelle<\/h2>\n<p>Ich hatte es am Rande mitbekommen, dass es Probleme mit dem Produkt gebe. Gerade ist mir folgender <a href=\"https:\/\/twitter.com\/watchtowrcyber\/status\/1759982932348023198\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> untergekommen, der die Schwachstelle in ConnectWise mit einem CVSS 10.0 thematisiert.<\/p>\n<p><a href=\"https:\/\/twitter.com\/watchtowrcyber\/status\/1759982932348023198\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"ConnectWise Screenconnect vulnerability\" src=\"https:\/\/i.postimg.cc\/PrHK4NPs\/image.png\" alt=\"ConnectWise Screenconnect vulnerability\" \/><\/a><\/p>\n<p>Zum 19. Februar 2024 hat ConnectWise <a href=\"https:\/\/www.connectwise.com\/company\/trust\/security-bulletins\/connectwise-screenconnect-23.9.8\" target=\"_blank\" rel=\"noopener\">diese Sicherheitsmeldung<\/a> zu ScreenConnect 23.9.8 ver\u00f6ffentlicht und einen Sicherheitsfix bereitgestellt. Zum 13. Februar 2024 wurden dem Hersteller Schwachstellen gemeldet.<\/p>\n<ul>\n<li>CWE-288 Umgehung der Authentifizierung \u00fcber einen alternativen Pfad oder Kanal<\/li>\n<li>CWE-22 Unzul\u00e4ssige Beschr\u00e4nkung eines Pfadnamens auf ein eingeschr\u00e4nktes Verzeichnis (\"Path Traversal\")<\/li>\n<\/ul>\n<p>Die als kritisch bewerteten Schwachstellen erm\u00f6glichen die Remote Code-Ausf\u00fchrung ohne Authentifizierung. Betroffen sind ScreenConnect 23.9.7 und fr\u00fcher, und Kunden, die die L\u00f6sung On-Premises einsetzen, m\u00fcssen ein Update auf ScreenConnect 23.9.8 installieren. Die Cloud-L\u00f6sung wurde vom Anbieter gepatcht.<\/p>\n<h2>Schwachstelle trivial angreifbar<\/h2>\n<p><strong>Erg\u00e4nzung:<\/strong> Auf Github gibt es <a href=\"https:\/\/github.com\/watchtowrlabs\/connectwise-screenconnect_auth-bypass-add-user-poc\" target=\"_blank\" rel=\"noopener\">diesen Eintrag<\/a> mit einem Proof of Concept, der zeigt, wie trivial die Schwachstelle ausgenutzt werden kann.<\/p>\n<p>heise hatte <a href=\"https:\/\/www.heise.de\/news\/Jetzt-updaten-Kritische-Codeschmuggel-Luecken-in-Connectwise-Screenconnect-9633816.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> berichtet. Zum 20. Februar 2024 hat ConnectWise den Sicherheitshinweis erweitert und schreibt, dass man Hinweise \u00fcber kompromittierte Konten erhalten habe, die vom Incident Response Team untersucht und best\u00e4tigt werden konnten. Die folgenden IP-Adressen wurden k\u00fcrzlich von Bedrohungsakteuren verwendet.<\/p>\n<p>155.133.5.15<br \/>\n155.133.5.14<br \/>\n118.69.65.60<\/p>\n<p>In den ConnectWise-Dokumenten wird eine Schwachstelle mit einem CVSS-Wert von 8.4 angegeben, w\u00e4hrend die zweite Schwachstelle den CVSS-Wert 10.0 als h\u00f6chste Risikostufe bekommen hat. ConnectWise hat <a href=\"https:\/\/docs.connectwise.com\/ConnectWise_ScreenConnect_Documentation\/On-premises\/Get_started_with_ConnectWise_ScreenConnect_On-Premise\/Upgrade_an_on-premises_installation\" target=\"_blank\" rel=\"noopener\">diese Seite<\/a> mit Hinweisen zum Update bereitgestellt.<\/p>\n<p><a href=\"https:\/\/twitter.com\/watchtowrcyber\/status\/1760189490067390581\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"ConnectWise Screenconnect PoC\" src=\"https:\/\/i.postimg.cc\/jj9Lh8Qg\/image.png\" alt=\"ConnectWise Screenconnect PoC\" \/><\/a><\/p>\n<p>Sicherheitsforscher von watchWor weisen in obigem <a href=\"https:\/\/twitter.com\/watchtowrcyber\/status\/1760189490067390581\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> auf ein Proof of Concept (PoC) zum Ausnutzen der Schwachstelle hin, der auf <a href=\"https:\/\/github.com\/watchtowrlabs\/connectwise-screenconnect_auth-bypass-add-user-poc\" target=\"_blank\" rel=\"noopener\">GitHub<\/a> ver\u00f6ffentlicht wurde.<\/p>\n<h2>Extrem viele angreifbare Instanzen<\/h2>\n<p><strong>Erg\u00e4nzung:<\/strong> Sicherheitsforscher von Huntress warnen im Beitrag\u00a0<a href=\"https:\/\/www.huntress.com\/blog\/a-catastrophe-for-control-understanding-the-screenconnect-authentication-bypass\" target=\"_blank\" rel=\"noopener\">A Catastrophe For Control: Understanding the ScreenConnect Authentication Bypass (CVE-2024-1709 &amp; CVE-2024-1708)<\/a> vor der Schwachstelle und den Folgen.<\/p>\n<p><a href=\"https:\/\/twitter.com\/Shadowserver\/status\/1760229390082847029\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.postimg.cc\/Dy3dWzTj\/image.png\" alt=\"Connect Wise vulnerable systems\" \/><\/a><br \/>\nShadowserver weist in obigem <a href=\"https:\/\/twitter.com\/Shadowserver\/status\/1760229390082847029\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> darauf hin, 3800 anf\u00e4llige ConnectWise ScreenConnect-Instanzen (Umgehung der Authentifizierung \u00fcber einen alternativen Pfad oder Kanal (CVSS 10) und Pfadumgehung (CVSS 8.4)) gefunden zu haben. Die Instanzen lassen sich auf <a href=\"https:\/\/dashboard.shadowserver.org\/statistics\/iot-devices\/map\/?day=2024-02-19&amp;vendor=connectwise&amp;model=screenconnect&amp;geo=all&amp;data_set=count&amp;scale=log\" target=\"_blank\" rel=\"noopener\">dieser Seite<\/a> abrufen. In Deutschland sind es nur lockere 60 Instanzen, die sich bald \u00fcber \"Besuch freuen\" d\u00fcrfen.<\/p>\n<h2>LockBit greift Screenconnect-Server an<\/h2>\n<p>Und es gibt Hinweise, dass LockBit verwundbare Screenconnect-Server angegriffen und infiziert hat. Zum 22. Februar 2024 hat Sophos Ops-X in einer <a href=\"https:\/\/infosec.exchange\/@SophosXOps\/111975043941611370\" target=\"_blank\" rel=\"noopener\">Meldung auf Mastodon<\/a> folgendes geschrieben:<\/p>\n<blockquote><p>Sophos X-Ops, UPDATE: In the last 24 hours, we've observed several LockBit attacks, apparently after exploitation of the recent ConnectWise ScreenConnect vulnerabilities (CVE-2024-1708 \/ CVE-2024-1709), 22. Feb., 13:06, SophosXOps\"<\/p>\n<p>Two things of interest here: first, as noted by others, the ScreenConnect vulnerabilities are being actively exploited in the wild. Second, despite the law enforcement operation against LockBit, it seems as though some affiliates are still up and running,<\/p>\n<p>We've also seen other ScreenConnect abuse in our telemetry, some delivering AsyncRAT (via WSF script execution); infostealers; and SimpleHelp Remote Access Client<br \/>\nWe've also seen other ScreenConnect abuse in our telemetry, some delivering AsyncRAT (via WSF script execution); infostealers; and SimpleHelp Remote Access Client.<\/p><\/blockquote>\n<div>\n<p>Das Cybersicherheitsunternehmen Huntress best\u00e4tigte die Ergebnisse gegen\u00fcber <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/screenconnect-servers-hacked-in-lockbit-ransomware-attacks\/\" target=\"_blank\" rel=\"noopener\">BleepingComputer<\/a>, und schrieb, dass \"eine lokale Regierung, einschlie\u00dflich der Systeme, die wahrscheinlich mit dem Notrufsystem verbunden sind\", und eine \"Gesundheitsklinik\" ebenfalls von LockBit-Ransomware-Angreifern betroffen waren, die CVE-2024-1709 ausnutzten, um in ihre Netzwerke einzudringen.<\/p>\n<p>Die LockBit-Infrastruktur wurde gerade durch die Strafverfolger beschlagnahmt und stillgelegt, wie ich im Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/20\/operation-cronos-fbi-co-beschlagnahmen-infrastruktur-der-lockbit-ransomware-gang\/\">Operation Cronos: FBI &amp; Co. beschlagnahmen Infrastruktur der Lockbit-Ransomware-Gang<\/a> beschrieb. Die Gruppe war bereits dabei, den LockBit 4.0-Verschl\u00fcsseler zu entwickeln, als das FBI und andere Strafverfolger zuschlugen, schreibt <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/lockbit-ransomware-secretly-building-next-gen-encryptor-before-takedown\/\" target=\"_blank\" rel=\"noopener\">Bleeping Computer hier<\/a>.\u00a0Von Bitdefender gibt es <a href=\"https:\/\/www.bitdefender.com\/blog\/businessinsights\/technical-advisory-critical-connectwise-screenconnect-authentication-bypass\/\" target=\"_blank\" rel=\"noopener\">dieses Dokument<\/a> mit Details zur Schwachstelle.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>[English]Hat jemand die ScreenConnect des Anbieters ConnectWise im Einsatz? In der Remote Desktop-Software wurde eine kritische Schwachstelle (CVSS 3.1 10.0) entdeckt, die sofort geschlossen werden sollte. Ein erster Exploit f\u00fcr diese Schwachstelle ist bereits verf\u00fcgbar. Hier ein schneller \u00dcberblick f\u00fcr &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/02\/21\/kritische-schwachstelle-in-connectwise-remote-software-screenconnect-feb-2024\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-292543","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292543","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=292543"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292543\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=292543"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=292543"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=292543"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}