UPDATE - Grootschalig misbruik waargenomen
Aanvallers maken op grote schaal misbruik van een kritieke kwetsbaarheid in ConnectWise ScreenConnect, software om systemen op afstand mee te beheren en monitoren, zo stelt securitybedrijf Mandiant. Het gaat om de kwetsbaarheid die wordt aangeduid als CVE-2024-1708. Maar ook CVE-2024-1709 vormt een risico voor het installeren van ransomware.
Het Digital Trust Center heeft afgelopen week Nederlandse bedrijven en organisaties gewaarschuwd over hun kwetsbare ScreenConnect installaties. Het advies blijft om beschikbare beveiligingsupdates zo snel mogelijk te (laten) installeren. Als je twijfelt of je bijtijds gepatcht hebt, doe dan aanvullend onderzoek. Gebruik waar mogelijk de door ConnectWist beschikbaar gestelde 'Indicators of Compromise' om onderzoek te doen naar sporen van inbreuk, schade of infectie van deze en andere systemen binnen het bedrijfsnetwerk.
Oorspronkelijk bericht 21 februari 2024
ConnectWise heeft kwetsbaarheden verholpen in ScreenConnect. ScreenConnect is een remote desktop softwareapplicatie. Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheden misbruiken om een nieuw administrator account aan te maken. Het Nationaal Cyber Security Centrum (NCSC) duidt de kwetsbaarheid als 'High/High'. Dit betekent dat er een grote kans is dat deze kwetsbaarheid misbruikt wordt en dat de schade groot kan zijn. Op dit moment zijn er nog geen CVE's toegekend aan de kwetsbaarheden.
Wat is het risico?
ScreenConnect versie 23.9.7 en eerder zijn kwetsbaar voor de kwetsbaarheden. De meest kritieke kwetsbaarheid geeft een ongeauthenticeerde kwaadwillende de mogelijkheid om een nieuw administrator account aan te maken en willekeurig code uit te voeren. Er is een exploit beschikbaar, dit is de code waarmee je de kwetsbaarheid kunt misbruiken. Dit maakt de kans op misbruik extra groot.
Wat kun je doen?
Let op wanneer je gebruik maakt van lokaal geïnstalleerde (“On Premise”) versies van ScreenConnect. ConnectWise heeft hier beveiligingsupdates voor uitgebracht. Het advies is om te updaten naar versie 23.9.8. ConnectWise zal ook updates uitbrengen voor al eerder uitgebrachte versies 22.4 tot en met 23.9.7. Als je gebruikmaakt van ScreenConnect via de cloud (screenconnect.com of hostedrmm.com), hoef je niks te doen.
Daarnaast heeft ConnectWise IoCs (Indicator of Compromise) uitgebracht, dit zijn sporen van misbruik. Deze lijst wordt geactualiseerd zodra er nieuwe informatie is. Zie voor meer informatie ook het beveiligingsadvies.
Het Digital Trust Center adviseert om de beschikbare beveiligingsupdates uit te (laten) voeren en onderzoek te doen naar sporen van misbruik. Maak je gebruik van ConnectWise ScreenConnect maar is het beheer hiervan uitbesteed? Verifieer dan bij de je IT-dienstverlener of de updates daadwerkelijk geïnstalleerd zijn en verzoek of ze met de door ConnectWise aangeleverde IoC’s kunnen nagaan of er misbruik heeft plaatsgevonden.
Veilig digitaal ondernemen
Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de CyberVeilig Check voor zzp en mkb of de Basisscan Cyberweerbaarheid .