Les chercheurs en sécurité affirment que deux failles faciles à exploiter dans un outil d’accès à distance populaire utilisé par plus d’un million d’entreprises dans le monde sont désormais exploitées en masse, les pirates informatiques abusant de ces vulnérabilités pour déployer des ransomwares et voler des données sensibles.
Le géant de la cybersécurité Mandiant a déclaré vendredi dans un article avoir « identifié une exploitation massive » des deux failles de ConnectWise ScreenConnect, un outil d’accès à distance populaire qui permet aux informaticiens et aux techniciens de fournir à distance une assistance technique directement sur les systèmes des clients via Internet.
Les deux vulnérabilités comprennent CVE-2024-1709, une vulnérabilité de contournement d’authentification que les chercheurs ont jugée « extrêmement facile » à exploiter pour les attaquants, et CVE-2024-1708, une vulnérabilité de traversée de chemin qui permet aux pirates informatiques d’implanter à distance du code malveillant, tel que des logiciels malveillants, sur les instances client ConnectWise vulnérables.
ConnectWise a révélé les failles pour la première fois le 19 février et a exhorté les clients sur site à installer immédiatement les correctifs de sécurité. Cependant, des milliers de serveurs restent vulnérables, selon les données de la Shadowserver Foundationet chacun de ces serveurs peut gérer jusqu’à 150 000 appareils clients.
Mandiant a déclaré avoir identifié « divers acteurs malveillants » exploitant les deux failles et a averti que « beaucoup d’entre eux déploieront des ransomwares et mèneront des extorsions multiformes », mais n’a pas attribué les attaques à des groupes de menaces spécifiques.
La société finlandaise de cybersécurité WithSecure a déclaré lundi dans un article de blog que ses chercheurs avaient également observé une « exploitation massive » des failles ScreenConnect par plusieurs acteurs malveillants. WithSecure a déclaré que ces pirates exploitaient les vulnérabilités pour déployer des voleurs de mots de passe, des portes dérobées et, dans certains cas, des ransomwares.
WithSecure a déclaré avoir également observé des pirates informatiques exploitant les failles pour déployer une variante Windows de la porte dérobée KrustyLoader sur des systèmes ScreenConnect non corrigés, le même type de porte dérobée implantée par des pirates informatiques exploitant récemment les vulnérabilités du logiciel VPN d’entreprise d’Ivanti. WithSecure a déclaré qu’il ne pouvait pas encore attribuer l’activité à un groupe menaçant particulier, bien que d’autres aient lié l’activité passée à un groupe de piratage soutenu par la Chine et axé sur l’espionnage.
Les chercheurs en sécurité de Sophos et Huntress ont tous deux déclaré la semaine dernière avoir observé le gang de ransomware LockBit lancer des attaques exploitant les vulnérabilités de ConnectWise – quelques jours seulement après qu’une opération internationale d’application de la loi ait prétendu perturber les opérations du célèbre gang de cybercriminalité lié à la Russie.
Huntress a déclaré dans son analyse avoir observé depuis lors qu’un « certain nombre d’adversaires » exploitaient des exploits pour déployer des ransomwares, et qu’un « nombre important » d’adversaires utilisant des exploits déployaient un logiciel d’extraction de crypto-monnaie, installaient des outils d’accès à distance « légitimes » supplémentaires pour maintenir un accès persistant à le réseau d’une victime et créer de nouveaux utilisateurs sur des machines compromises.
On ne sait pas encore combien de clients ou d’utilisateurs finaux de ConnectWise ScreenConnect sont affectés par ces vulnérabilités, et les porte-parole de ConnectWise n’ont pas répondu aux questions de TechCrunch. Le site Web de la société affirme que l’organisation fournit sa technologie d’accès à distance à plus d’un million de petites et moyennes entreprises qui gèrent plus de 13 millions d’appareils.
Dimanche, ConnectWise a annulé un entretien convenu entre TechCrunch et son RSSI Patrick Beggs, prévu pour lundi. ConnectWise n’a pas donné de raison pour l’annulation de dernière minute.
Êtes-vous concerné par la vulnérabilité ConnectWise ? Vous pouvez contacter Carly Page en toute sécurité sur Signal au +441536 853968 ou par e-mail à [email protected]. Vous pouvez également contacter TechCrunch via SecureDrop.