ClickCease Warnung: Fehler in der Connectwise F5-Software zum Einbruch in Netzwerke genutzt

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Warnung: Fehler in der Connectwise F5-Software zum Einbruch in Netzwerke genutzt

Wajahat Raja

2. April 2024. TuxCare-Expertenteam

Aktuelle Nachrichtenberichte wurde bekannt, dass ein Hacker, der angeblich mit China in Verbindung steht, an der Ausnutzung von zwei bekannten Sicherheitslücken beteiligt war. Ziel dieser Sicherheitslücken sind US-amerikanische Rüstungsunternehmen und andere staatliche Einrichtungen und Institutionen in Asien und im Vereinigten Königreich. Laut diesen Berichten glauben Forscher, dass der Hacker vom Staat unterstützt wird. In diesem Artikel beschreiben wir die Angriffe und wie die Connectwise F5-Software-Schwachstellen ausgenutzt wurden.

Fangen wir an!

 

UNC5174 und die Fehler in der Connectwise F5 Software


Das Google-eigene Sicherheitsunternehmen Mandiant hat einen Bericht veröffentlicht
Bericht mit Einblicken über den mutmaßlich staatlich unterstützten Hacker veröffentlicht. In den Berichten wird erwähnt, dass ein Bedrohungsakteur namens UNC5174 möglicherweise hinter den Connectwise-F5-Software-Schwachstellen ausgenutzt wird. Darüber hinaus glauben die Forscher von Mandiant, dass der Hacker im Auftrag des chinesischen Ministeriums für Staatssicherheit handelt.

Ein Auszug aus dem Bericht, der sich mit den jüngsten Aktivitäten von UNC5174 befasst, lautet wie folgt: "Im Februar 2024 wurde UNC5174 dabei beobachtet, wie er die ConnectWise ScreenConnect-Schwachstelle (CVE-2024-1709) ausnutzte, um Hunderte von Einrichtungen vor allem in den USA und Kanada zu kompromittieren."

Connect warnte seine Kunden bereits im Februar vor CVE-2024-1709. Damals hatte das Unternehmen bestätigt, dass mehrere seiner Kunden Opfer der folgenden Schwachstellen geworden waren Connectwise F5-Software-Schwachstellen. Die Forscher fanden auch UNC5174, das CVE-2023-46747 ausnutzt. Diese Schwachstellen zielten auf die F5 BIG-IP. In dem Bericht heißt es weiter, dass bei beiden Exploits benutzerdefinierte Tools verwendet wurden, die nur für UNC5174 gelten.


Connectwise F5-Sicherheitslücke und chinesische Spionage 


Die Forscher von Mandiant haben erklärt, dass die Angriffe auf die Möglichkeit chinesischer Spionage hinweisen. Ein Auszug mit weiteren Erkenntnissen lautet:
"Chinesische Akteure erforschen weiterhin Schwachstellen in weit verbreiteten Edge-Appliances wie F5 BIG-IP und ScreenConnect, um Spionageoperationen in großem Umfang zu ermöglichen. Diese Operationen beinhalten oft die schnelle Ausnutzung kürzlich bekannt gewordener Schwachstellen mit Hilfe von benutzerdefinierten oder öffentlich verfügbaren Proof-of-Concept-Exploits."

Angesichts der Angriffsfolge der jüngsten Connectwise-F5-Software-Schwachstellen ausgenutzt wurden, kann festgestellt werden, dass die Bedrohungsakteure sich eng an das in dem Bericht erwähnte Modell halten. Darüber hinaus können ihre Operationen Aufschluss über das ursprüngliche Access-Broker-System geben, das der MSS verwendet, um globale Organisationen anzugreifen. Experten gehen davon aus, dass UNC5174 auch in Zukunft eine Bedrohung für Nichtregierungsorganisationen, akademische Einrichtungen und Regierungsbehörden darstellen wird.


Connectwise F5 Software-Schwachstellen Details zur Ausnutzung 


Sobald der Bedrohungsakteur Fuß gefasst hat, beginnt er damit, das dem Internet zugewandte System nach ausnutzbaren Schwachstellen zu durchsuchen. UNC5174 erstellt auch administrative Konten, die bei der Ausführung bösartiger Absichten helfen, da die Konten über erhöhte Rechte verfügen. Außerdem legt der Bedrohungsakteur einen C-basierten ELF-Downloader mit dem Namen SNOWLIGHT ab. 

Der Downloader ist so konzipiert, dass er die nächste Nutzlast namens GOREVERSE liefert, die er von einer entfernten URL erwirbt und mit der SUPERSHELL kommuniziert. Was die Ausnutzung der Connectwise-F5-Software-Schwachstellen auszunutzen, ermöglichen sowohl GOREVERESE als auch SUPERSHELL Bedrohungsakteuren die Erstellung eines umgekehrten SSH-Trichters.

Dieser Trichter wird dann verwendet, um Shell-Sitzungen zu starten, was die Ausführung von beliebigem Codeausführung. Um den Connectwise-F5-Softwarefehler auszunutzen, verwenden Bedrohungsakteure auch ein zusätzliches Goland-basiertes Tunneling-Tool namens GOHEAVY. Dieses Tool wird wahrscheinlich verwendet, um laterale Bewegungen innerhalb des Netzwerks zu unterstützen und den Bedrohungsakteuren eine Erweiterung ihrer Angriffsfläche zu ermöglichen.

Jüngste Berichte haben einen interessanten Vorfall ans Licht gebracht, bei dem Bedrohungsakteure an der Korrektur von CVE-2023-46747 beteiligt waren. Das Motiv hinter dem Patch ist den Berichten zufolge, andere davon abzuhalten, die gleiche Lücke auszunutzen. Es ist erwähnenswert, dass UNC5174 mit verschiedenen Gruppen von Bedrohungsakteuren in Verbindung gebracht wird und diese vermutlich Mitte 2023 verlassen hat.

Darüber hinaus konzentriert sich der Bedrohungsakteur nun auf die Durchführung von Zugangsoperationen und die Vermittlung des Zugangs zu kompromittierten Umgebungen. Daraus lässt sich schließen, dass im Falle der Connectwise-F5-Software-Schwachstellen der Bedrohungsakteur erneut als Zugangsvermittler mit Unterstützung des MSS agiert.


Schlussfolgerung 


UNC5174, der angeblich von China unterstützt wird, wurde dabei beobachtet, wie er die
Connectwise-F5-Software-Schwachstellen ausnutzt. Jüngsten Berichten zufolge sollen vor allem US-amerikanische Rüstungsunternehmen und andere staatliche Einrichtungen und Institutionen in Asien und Großbritannien Ziel der Angriffe sein.

Die Angriffe sind sehr schwerwiegend, da der Bedrohungsakteur Schlupflöcher schließen, Zugang vermitteln, seitliche Bewegungen durchführen und die Angriffsfläche erweitern kann. In Anbetracht der Schwere der Angriffe ist der Einsatz von robuste Cybersicherheitsmaßnahmen für den Schutz von Unternehmenssystemen und die Risiken der Connectwise F5-Software zu minimieren.

Zu den Quellen für diesen Beitrag gehören Artikel in den Hacker-Nachrichten und Die Platte.

Zusammenfassung
Warnung: Fehler in der Connectwise F5-Software zum Einbruch in Netzwerke genutzt
Artikel Name
Warnung: Fehler in der Connectwise F5-Software zum Einbruch in Netzwerke genutzt
Beschreibung
Bedrohungsakteure wurden dabei beobachtet, wie sie die Connectwise-F5-Schwachstellen mit benutzerdefinierten Tools ausnutzen. Erfahren Sie mehr über die Angriffe und schützen Sie Ihre Systeme.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter