İlk kullanım raporlarının bir süreliğine yayınlanmaya başlamasından yalnızca birkaç gün sonra ConnectWise ScreenConnect’teki kritik güvenlik açığı Uzaktan masaüstü yönetim hizmetiyle ilgili olarak araştırmacılar, çok büyük boyutlarda bir tedarik zinciri saldırısının patlamaya hazır olabileceği konusunda uyarıyorlar.
Huntress CEO’su Kyle Hanslovan, e-postayla gönderdiği yorumda, hatalar istismar edildikten sonra bilgisayar korsanlarının “yüzbinlerce uç noktayı kontrol eden on binden fazla sunucuya” uzaktan erişim elde edeceğini belirterek, “2024’ün en büyük siber güvenlik olayına” hazırlanma zamanının geldiğini belirtti. “
ScreenConnect, teknik destek ve diğerleri tarafından bir makinede kullanıcıymış gibi kimlik doğrulaması yapmak için kullanılabilir. Bu, tehdit aktörlerinin yüksek değerli uç noktalara sızmasına ve ayrıcalıklarından yararlanmasına olanak tanıyabilir.
Daha da kötüsü, uygulama, yönetilen hizmet sağlayıcılar (MSP) tarafından müşteri ortamlarına bağlanmak için yaygın olarak kullanılıyor; bu nedenle, MSP’leri aşağı akış erişimi için kullanmak isteyen tehdit aktörlerine de kapı açabilir. Kaseya saldırılarının tsunamisi işletmelerin 2021 yılında karşılaştığı durum.
ConnectWise Hataları CVES’i Alın
ConnectWise, Pazartesi günü hiçbir CVE olmadan hataları açıkladı ve ardından kavram kanıtlama (PoC) istismarları hızla ortaya çıktı. Salı günü ConnectWise, hataların aktif siber saldırı altında olduğu konusunda uyardı. Çarşamba günü, çok sayıda araştırmacı siber faaliyetlerin çığ gibi büyüdüğünü bildiriyordu.
Güvenlik açıkları artık izleme CVE’lerine sahip. Bunlardan biri, yönetim arayüzüne ağ erişimi olan bir saldırganın etkilenen cihazlarda yeni, yönetici düzeyinde bir hesap oluşturmasına olanak tanıyan maksimum önem derecesine sahip kimlik doğrulama bypassıdır (CVE-2024-1709, CVSS 10). Yetkisiz dosya erişimine izin veren ikinci bir hatayla, yol geçiş sorunuyla (CVE-2024-1708, CVSS 8.4) eşleştirilebilir.
İlk Erişim Aracıları Faaliyetlerini Hızlandırıyor
Shadowserver Vakfı’na göre, telemetri kapsamında İnternet’e maruz kalan platformun en az 8.200 savunmasız örneği var ve bunların çoğunluğu ABD’de bulunuyor.
“CVE-2024-1709 vahşi doğada geniş çapta istismar ediliyor: Bugüne kadar sensörlerimiz tarafından 643 IP’nin saldırdığı görüldü” bir LinkedIn gönderisinde söyledi.
Huntress araştırmacıları, ABD istihbarat topluluğundan bir kaynağın kendilerine şunu söylediğini söyledi: ilk erişim aracıları (IAB’ler) Bu erişimi fidye yazılımı gruplarına satmak amacıyla çeşitli uç noktalarda mağaza kurmak için böceklerin üzerine atılmaya başladılar.
Gerçekten de Huntress, siber saldırganların güvenlik açıklarını kullanarak, muhtemelen 911 sistemlerine bağlı uç noktalar da dahil olmak üzere yerel yönetime fidye yazılımı dağıttığını gözlemledi.
Hanslovan, “Bu yazılımın yaygınlığı ve bu güvenlik açığının sağladığı erişim, herkese açık bir fidye yazılımının eşiğinde olduğumuzu gösteriyor” dedi. “Hastaneler, kritik altyapı ve devlet kurumlarının risk altında olduğu kanıtlandı.”
Şöyle ekledi: “Ve veri şifreleyicilerini zorlamaya başladıklarında, önleyici güvenlik yazılımlarının %90’ının bunu yakalayamayacağına bahse girerim çünkü bunlar güvenilir bir kaynaktan geliyor.”
Bu arada Bitdefender araştırmacıları, tehdit aktörlerinin ele geçirilen makinelere ek kötü amaçlı yazılım yükleyebilecek bir indiriciyi dağıtmak için kötü amaçlı uzantılar kullandığını belirterek etkinliği doğruladı.
“ScreenConnect’in uzantılar klasöründen yararlanılan birkaç potansiyel saldırı örneğini fark ettik. [while security tooling] certutil.exe yerleşik aracını temel alan bir indiricinin varlığını önerir” ConnectWise siber etkinliği hakkında Bitdefender blogu. “Tehdit aktörleri bu aracı genellikle kurbanın sistemine ek kötü amaçlı yüklerin indirilmesini başlatmak için kullanıyor.”
Bu arada ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), hataları kendi listesine ekledi. Bilinen İstismar Edilen Güvenlik Açıkları kataloğu.
CVE-2024-1709, CVE-2024-1708 için hafifletme
23.9.7’ye kadar olan ve 23.9.7 dahil olmak üzere şirket içi sürümler savunmasızdır; bu nedenle en iyi koruma, ConnectWise ScreenConnect’in dağıtıldığı tüm sistemleri tanımlamak ve 23.9.7 ile birlikte verilen yamaları uygulamaktır. ScreenConnect sürüm 23.9.8.
Kuruluşlar ayrıca ConnectWise’ın danışma belgesinde listelenen güvenlik ihlali göstergelerine (IoC’ler) de dikkat etmelidir. Bitdefender araştırmacıları “C:\Program Files (x86)\ScreenConnect\App_Extensions\” klasörünün izlenmesini savunuyor; Bitdefender, doğrudan o klasörün kökünde saklanan şüpheli .ashx ve .aspx dosyalarının yetkisiz kod yürütülmesine işaret edebileceğini işaretledi.
Ayrıca ufukta iyi haberler de olabilir: “ConnectWise, yama uygulanmamış sunucuların lisanslarını iptal ettiklerini belirtti ve bizim açımızdan bunun nasıl çalıştığı belirsiz olsa da, bu güvenlik açığının, savunmasız bir sürümü çalıştıran veya kullanan herkes için hala büyük bir endişe kaynağı olduğu görülüyor. hızlı bir şekilde yama yapılmıyor” diye ekledi Bitdefender araştırmacıları. “Bu, ConnectWise’ın eylemlerinin işe yaramadığı anlamına gelmiyor; şu anda bunun nasıl sonuçlandığından emin değiliz.”