Sophos X-Ops sta seguendo un’ondata crescente di sfruttamento delle vulnerabilità che hanno come obiettivo le installazioni di ConnectWise ScreenConnect prive di patch. Questa pagina fornisce consigli e indicazioni per i clienti, i ricercatori, gli investigatori e chi si occupa di incidenti. Queste informazioni si basano sull’osservazione e sull’analisi condotte da SophosLabs, Sophos Managed Detection and Response (MDR) e Sophos Incident Response (IR), in cui è stato coinvolto il client o il server ScreenConnect.
Aggiorneremo questa pagina in base all’evoluzione degli eventi e delle nostre informazioni, comprese le nostre indicazioni sulle minacce e sul rilevamento.
Aggiornamento delle 17:45 UTC, 2024-03-01: informazioni su tre nuovi attacchi che tentano di penetrare più a fondo nella rete di un cliente dopo aver sfruttato una vulnerabilità nel server ScreenConnect (“Ulteriori tentativi”, sotto).
Aggiornamento delle 19:30 UTC, 2024-02-23: in collaborazione con ConnectWise, abbiamo aggiornato la sezione Panoramica della situazione, riportata di seguito, per chiarire le circostanze dell’incidente e degli attacchi in corso.
Quadro generale della situazione
Il 19 febbraio 2024, ConnectWise ha pubblicato un avviso di sicurezza per il suo software di monitoraggio e gestione remota (RMM). L’avviso evidenziava due vulnerabilità che hanno un impatto sulle versioni precedenti di ScreenConnect e che sono state mitigate nella versione 23.9.8 e successive.
Continua a leggere per avere una panoramica completa degli eventi.
Lascia un commento