ConnectWise ScreenConnect uzak masaüstü yönetim aracının kullanıcıları, platformda maksimum kritik güvenlik açığına yönelik bir kavram kanıtlama (PoC) istismarının ortaya çıkmasının ardından aktif siber saldırı altındadır. Araştırmacılar, durumun kitlesel bir uzlaşma olayına dönüşme potansiyeline sahip olduğu konusunda uyarıyor.
ScreenConnect, teknik destek ve diğerleri tarafından bir makinede kullanıcıymış gibi kimlik doğrulaması yapmak için kullanılabilir. Bu nedenle, yüksek değerli uç noktalara ve kurumsal ağların erişebilecekleri diğer alanlarına sızmak isteyen tehdit aktörlerine bir kanal sunuyor.
Kritik ScreenConnect Kimlik Doğrulamasını Atlama
Pazartesi günü yapılan bir danışma toplantısında, ConnectWise bir kimlik doğrulama bypassını açıkladı CVSS güvenlik açığı şiddet ölçeğinde 10 üzerinden 10 puan taşıyan; Hedeflenen masaüstü bilgisayarlara ön kapıyı açmanın yanı sıra, saldırganların, yine Pazartesi günü açıklanan, yetkisiz dosya erişimine izin veren bir yol geçiş sorunu (CVSS 8.4) olan ikinci bir hataya erişmesine olanak tanıyor.
Horizon3.ai istismar geliştiricisi James Horseman bugün bir blogda şunları söyledi: “Bu güvenlik açığı, bir saldırganın ScreenConnect sunucusunda kendi yönetici kullanıcısını oluşturmasına olanak tanıyarak onlara sunucu üzerinde tam kontrol sağlıyor.” kimlik doğrulama bypass’ına ilişkin teknik ayrıntılar sağlar ve uzlaşma göstergeleri (IoC). “Bu güvenlik açığı, saldırganların uygulamaları yeniden başlatmasına veya kurulumdan sonra ilk kullanıcılar oluşturmasına olanak tanıyan diğer yeni güvenlik açıklarının bir temasını takip ediyor.”
Salı günü ConnectWise, henüz CVE’leri olmayan sorunların aktif olarak kullanıldığını doğrulamak için tavsiyesini güncelledi: “Olay müdahale ekibimizin araştırıp onaylayabildiği, güvenliği ihlal edilmiş hesaplarla ilgili güncellemeler aldık.” Ayrıca kapsamlı bir IoC listesi de eklendi.
Bu arada Shadowserver Vakfı CEO’su Piotr Kijewski, kâr amacı gütmeyen kuruluşun bal küpü sensörlerinde ilk kullanım taleplerini gördüğünü doğruladı.
“Gizlilik belirtilerini kontrol edin (yeni kullanıcıların eklenmesi gibi) ve yama yapın!” Shadowserver e-posta listesi aracılığıyla vurguladı ve Salı günü itibarıyla ScreenConnect örneklerinin tam olarak %93’ünün (yaklaşık 3.800 kurulum) hala savunmasız olduğunu ve bunların çoğunun ABD’de bulunduğunu ekledi.
Güvenlik açıkları, ScreenConnect’in 23.9.7 ve önceki sürümlerini ve özellikle şirket içinde barındırılan veya şirket içi kurulumları etkilemektedir; ScreenConnect sunucularını “screenconnect.com” veya “hostedrmm.com” etki alanlarında barındıran bulut müşterileri etkilenmez.
ConnectWise’ın Snowball’a İstismarını Bekleyin
Şu anda istismar girişimleri düşük hacimli olsa da, Action1’in başkanı ve kurucu ortağı Mike Walters, e-postayla gönderilen yorumunda işletmelerin ConnectWise hatalarından “önemli güvenlik sonuçları” beklemesi gerektiğini söyledi.
Ayrıca güvenlik açıklarından yararlanıldığını doğrulayan Walters, potansiyel olarak “binlerce tehlikeye atılmış örnek” beklendiğini söyledi. Ancak bu sorunların, saldırganların yönetilen güvenlik hizmeti sağlayıcılarına (MSSP’ler) sızıp daha sonra ticari müşterilerine yöneldiği geniş kapsamlı bir tedarik zinciri saldırısına dönüşme potansiyeli de var.
Şöyle açıkladı: “Bu güvenlik açıklarından yararlanan büyük saldırı, şuna benzer olabilir: 2021’de Kaseya güvenlik açığından yararlanmaScreenConnect çok popüler olduğundan [remote management and monitoring tool] MSP’ler ve MSSP’ler arasında RMM var ve karşılaştırılabilir hasara neden olabilir.”
Şimdiye kadar hem Huntress araştırmacıları hem de Horizon3 saldırı ekibindeki araştırmacılar hatalara yönelik PoC’leri halka açık olarak yayınladılar ve diğerlerinin de bunu takip edeceğinden eminiz.
ConnectWise SmartScreen yöneticileri kendilerini korumak için sistemlerine yama uygulamak üzere hemen 23.9.8 sürümüne yükseltmeli, ardından istismar işaretlerini aramak için sağlanan IoC’leri kullanmalıdır.