{"id":292624,"date":"2024-02-23T03:29:29","date_gmt":"2024-02-23T02:29:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292624"},"modified":"2024-07-31T22:13:03","modified_gmt":"2024-07-31T20:13:03","slug":"connectwise-screenconnect-server-durch-lockbit-angegriffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/23\/connectwise-screenconnect-server-durch-lockbit-angegriffen\/","title":{"rendered":"ConnectWise ScreenConnect-Server durch LockBit angegriffen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Die kritischen Schwachstellen (CVE-2024-1709 &amp; CVE-2024-1708) in der Remote Desktop-Software ScreenConnect des Anbieters ConnectWise k\u00f6nnten eine neue \"IT-Kernschmelze\" bewirken. Die Ransomware-Gruppe LockBit hat verwundbare Systeme \u00fcber die Schwachstellen (CVSS 3.1 10.0) erfolgreich angegriffen. <strong>Erg\u00e4nzung:<\/strong> Inzwischen gibt es weitere Gruppen, die das ausnutzen.<\/p>\n<p><!--more--><\/p>\n<h2>Schwachstellen in ScreenConnect<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/99439bf741484b9cb6b430ae25cdb7e8\" alt=\"\" width=\"1\" height=\"1\" \/>In der Remote Desktop-Software ScreenConnect von ConnectWise wurden kritische Schwachstellen (eine hat die CVSS 3.1-Einstufung 10.0) entdeckt, die eine Umgehung der Authentifizierung erm\u00f6glichen. Ein erster Exploit f\u00fcr diese trivial ausnutzbare Schwachstelle ist bereits \u00f6ffentlich verf\u00fcgbar. Angriffe gegen verwundbare Server laufen bereits und es sind weltweit Tausende Instanzen angreifbar. Ich hatte im Blog-Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/21\/kritische-schwachstelle-in-connectwise-remote-software-screenconnect-feb-2024\/\">Schwachstelle in ConnectWise-Remote-Software ScreenConnect (Feb. 2024)<\/a> Details zu den Schwachstellen berichtet.<\/p>\n<h2>LockBit hat ScreenConnect angegriffen<\/h2>\n<p>Aktuell brennt da bildlich gesprochen \"die H\u00fctte\", denn es sind weltweit Tausende Instanzen der Software verwundbar. Alleine in Deutschland sind \u00fcber 60 Instanzen\u00a0 als verwundbar bekannt.<\/p>\n<p>Nun wurde bekannt, dass die LockBit-Ransomware-Gruppe verwundbare ScreenConnect-Server angegriffen und infiziert hat.\u00a0Das Cybersicherheitsunternehmen Huntress gibt an, dass mindestens \"eine lokale Regierung (vermutlich ein US-Bundesstaat), einschlie\u00dflich der Systeme, die wahrscheinlich mit dem Notrufsystem verbunden sind\", und eine \"Gesundheitsklinik\" unter den Opfern der LockBit-Ransomware sind. Es wurde die Schwachstelle CVE-2024-1709 ausgenutzt, um in Netzwerke einzudringen.<\/p>\n<p>F\u00fcr die Opfer k\u00f6nnte es prek\u00e4r werden, denn die LockBit-Infrastruktur ist ja vor wenigen Tagen durch Strafverfolger beschlagnahmt worden (siehe <a href=\"https:\/\/borncity.com\/blog\/2024\/02\/20\/operation-cronos-fbi-co-beschlagnahmen-infrastruktur-der-lockbit-ransomware-gang\/\">Operation Cronos: FBI &amp; Co. beschlagnahmen Infrastruktur der Lockbit-Ransomware-Gang<\/a>). Die Gruppe ist nicht mehr operationsf\u00e4hig. Einige Informationen zum LockBit-Fall habe ich in den hier verlinkten Artikeln nachgetragen.<\/p>\n<p><a href=\"https:\/\/twitter.com\/TrendMicroRSRCH\/status\/1760906803141824890\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.postimg.cc\/1XKBHbv4\/image.png\" alt=\"ScreenConnect attacks\" \/><\/a><\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Inzwischen gibt es weitere Gruppen, die das ausnutzen. Trend Micro Research hat gerade diesen <a href=\"https:\/\/twitter.com\/TrendMicroRSRCH\/status\/1760906803141824890\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> abgesetzt, in dem der Sachverhalt aufgegriffen wird. Details lassen sich in diesem Artikel von Trend Micro nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die kritischen Schwachstellen (CVE-2024-1709 &amp; CVE-2024-1708) in der Remote Desktop-Software ScreenConnect des Anbieters ConnectWise k\u00f6nnten eine neue \"IT-Kernschmelze\" bewirken. Die Ransomware-Gruppe LockBit hat verwundbare Systeme \u00fcber die Schwachstellen (CVSS 3.1 10.0) erfolgreich angegriffen. Erg\u00e4nzung: Inzwischen gibt es weitere Gruppen, die &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/02\/23\/connectwise-screenconnect-server-durch-lockbit-angegriffen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-292624","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292624","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=292624"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292624\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=292624"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=292624"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=292624"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}