ConnectWise, ScreenConnect uzak masaüstü ve erişim yazılımındaki, etkilenen sistemlerde uzaktan kod yürütülmesini mümkün kılabilecek kritik bir hata da dahil olmak üzere iki güvenlik açığını gidermek için yazılım güncellemeleri yayınladı.
güvenlik açıkları aşağıda listelenmiştir –
- CVE-2024-1708 (CVSS puanı: 8.4) – Yol adının, “yol geçişi” olarak da bilinen kısıtlı bir dizine uygun olmayan şekilde sınırlandırılması
- CVE-2024-1709 (CVSS puanı: 10,0) – Alternatif bir yol veya kanal kullanarak kimlik doğrulamayı atlama
Şirket, sorunların ciddiyetini kritik olarak değerlendirdi ve bunların “uzaktan kod yürütme olanağına izin verebileceğini veya gizli verileri veya kritik sistemleri doğrudan etkileyebileceğini” belirtti.
Her iki güvenlik açığı da ScreenConnect’in 23.9.7 ve önceki sürümlerini etkiliyor; düzeltmeler 23.9.8 sürümünde mevcut. Kusurlar 13 Şubat 2024’te şirkete bildirildi.
Eksikliklerin kullanımda olduğuna dair bir kanıt olmasa da, kendi kendine barındırılan veya şirket içi sürümleri çalıştıran kullanıcıların en kısa sürede en son sürüme güncellemeleri önerilir.
BT yönetim yazılımı şirketi, “ConnectWise ayrıca kritik sorun için 22.4’ten 23.9.7’ye kadar olan sürümlerin güncellenmiş sürümlerini sunacak, ancak iş ortaklarının ScreenConnect 23.9.8 sürümüne güncelleme yapmalarını şiddetle tavsiye ediyor” dedi.
Siber güvenlik firması Huntress, ScreenConnect’in savunmasız bir sürümünü çalıştıran 8.800’den fazla sunucu bulduğunu söyledi. Aynı zamanda gösterdi “kolayca yeniden oluşturulabileceğini ve minimum düzeyde teknik bilgi gerektirebileceğini” ve yama yapılmamış ScreenConnect sunucularında kimlik doğrulamayı atlamak için kullanılabileceğini söylediği bir kavram kanıtlama (PoC) istismarı.
ConnectWise Kusurları Aktif Suistimal Altına Alınıyor
ConnectWise o zamandan beri revize edildi kusurların aktif olarak kullanıldığını gösteren, “güvenliği ihlal edilmiş hesapların güncellemelerini aldığını” belirten tavsiye niteliğindedir. Saldırıların aşağıdaki IP adreslerinden kaynaklandığı belirtildi:
- 155.133.5[.]15
- 155.133.5[.]14
- 118.69.65[.]60
Siber güvenlik şirketi Rapid7 olmasına rağmen kampanyanın kesin ölçeği şu anda bilinmiyor. söz konusu Müşteri ortamlarında gözlemlenen istismar.
Avcı ayrıca Paylaşıldı İki güvenlik açığına ilişkin ek teknik ayrıntılar, istismarın “önemsiz ve utanç verici derecede kolay” olduğunu ve istismar sonrası için Cobalt Strike düşman simülasyon çerçevesini dağıtmak için kullanıldıklarını belirtiyor.
Özellikle eksiklikler, hileli bir yönetici hesabı oluşturmak ve ScreenConnect’in kontrolünü ele geçirmek ve hatta diğer dizinlerdeki dosyalara erişmek veya bunları değiştirmek için silah haline getirilerek rastgele kod yürütülmesine yol açabilir.
Kimlik doğrulama atlama hatasına yönelik PoC açıkları da şu şekilde yayınlandı: watchTowr Laboratuvarları Ve Horizon3.aiikincisi, kusurun, ilk kullanıcı ve parolayı oluşturmaktan sorumlu olan SetupWizard bileşeninde bulunduğunu açıklıyor.
James Horseman, “Bu güvenlik açığı, saldırganın ScreenConnect sunucusunda kendi yönetici kullanıcısını oluşturmasına olanak tanıyor ve bu da ona sunucu üzerinde tam kontrol sağlıyor.” söz konusu. “Bu güvenlik açığı, saldırganların uygulamaları yeniden başlatmasına veya kurulumdan sonra ilk kullanıcılar oluşturmasına olanak tanıyan diğer yeni güvenlik açıklarının bir temasını takip ediyor.”
ConnectWise ScreenConnect Kusurları Fidye Yazılımı Sunmak İçin Kullanıldı
23 Şubat 2024’te Avcı ve Sophos açıklandı Maksimum önem derecesine sahip kimlik doğrulama atlama güvenlik açığının, sızdırılan LockBit oluşturucu tarafından oluşturulan fidye yazılımı yüklerini dağıtmak için kötüye kullanıldığı ve bunlardan birinin “buhtiRansom” adıyla anıldığı belirtiliyor.
Şirket söz konusu ayrıca “farklı bir saldırganın, certutil yardımcı programını kullanarak başka bir veriyi bir web adresinden indirmeye, onu svchost.exe dosya adıyla C: sürücüsünün köküne yazıp çalıştırmaya çalıştığını gördü.” Saldırı sonuçta başarısız olsa da, daha sonra yapılan bir analiz bunun LockBit oluşturucu kodu üzerine inşa edilmiş başka bir fidye yazılımı çeşidi olduğunu ortaya çıkardı.
Kusurun olduğuna dair işaretler de var yaygın sömürüye maruz kalmakPek çok kişi RAT’lar, hırsız kötü amaçlı yazılımlar ve AsyncRAT, RedLine Stealer, Vidar Stealer ve Redcap gibi kripto para madencilerini dağıtmak için onları fırsatçı bir şekilde suistimal ediyor.
Sophos, “Bir tehdit aktörü, başka bir uzaktan erişim istemcisini hedef makineye göndermek için ScreenConnect’i kötüye kullandı” dedi. “Saldırgan, SimpleHelp yükleyicisini başlatmak için ScreenConnect.WindowsClient.exe dosyasını kullandı. Beş saat sonra, aynı makinede, sistemde fidye notlarının göründüğünü ve dosyaların farklı bir dosya uzantısıyla yeniden adlandırıldığını gözlemledik.”
Bu gelişme aynı zamanda ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) da faaliyet göstermesine yol açtı. ekleme CVE-2024-1709’dan Bilinen İstismar Edilen Güvenlik Açıklarına (KEV) kataloğunu yayınlayarak federal kurumları örneklerini 29 Şubat 2024’e kadar bir hafta içinde güvence altına almaya çağırıyoruz.