ConnectWise, ConnectWise Recover ve R1Soft sunucu yedekleme yöneticisi teknolojilerinde, saldırganlara şirketin binlerce yönetilen hizmet sağlayıcı (MSP) müşterisini ve dolayısıyla onların alt istemcilerini tehlikeye atması için bir yol sağlayabilecek kritik bir uzaktan kod yürütme (RCE) güvenlik açığını yamaladı. .
Cuma günü yaptığı bir uyarıda ConnectWise, otomatik güncelleme çıkardı ConnectWise Server Backup Manager’ın (SBM) hem bulut hem de istemci eşgörünümlerine yöneliktir ve R1Soft sunucu yedekleme yöneticisi müşterilerini Cuma günü yayınladığı yeni SBM v6.16.4’e hemen yükseltmeye çağırdı.
Şiddetli Hata
“Bize haber verdik [customers] ConnectWise’ın CISO’su Patrick Beggs, Dark Reading’e gönderilen yorumlarda şunları söyledi: ConnectWise Recover’ı kullanan çoğu kuruluş için, başka bir işlem yok. bu noktada güvenlik açığına karşı koruma gereklidir, ancak “R1Soft kendi kendini yönetir; bunları teşvik ediyoruz [customers] yamayı hızlı bir şekilde uygulamak için” diyor.
ConnectWise, güvenlik sağlayıcısı Huntress’in şirkete sorun hakkında bilgi vermesinden ve saldırganların etkilenen sistemlerin tam kontrolünü ele geçirmek için güvenlik açığından nasıl yararlanabileceğini gösteren kavram kanıtı kodunu göstermesinden sonra hatayı keşfettiğini söyledi. Şirket, hatayı “aşağı akış bileşeni tarafından kullanılan çıktıdaki özel öğelerin uygun olmayan şekilde etkisiz hale getirilmesi” olarak nitelendirdi. Güvenlik açığı, ConnectWise Recover v2.9.7 ve önceki sürümlerinde ve R1Sof SBM v6.16.3 ve önceki sürümlerinde bulunmaktadır.
31 Ekim tarihli bir blog yazısında, Huntress araştırmacıları sorunu anlattı bir kimlik doğrulama atlama güvenlik açığına bağlı olarak (CVE-2022-36537) ZK Java kitaplığının önceki bir sürümünde, ConnectWise’ın sunucu yedekleme yöneticisi teknolojisiyle birlikte gelir. Almanya merkezli güvenlik sağlayıcısı Code White GmbH’den bir araştırmacı, ZK kitaplığındaki güvenlik açığını keşfeden ve bunu Mayıs 2022’de çerçevenin bakımcılarına bildiren ilk kişi oldu. Aynı şirketten başka bir araştırmacı, ConnectWise’ın R1Soft SBM teknolojisinin bu güvenlik açığını kullandığını keşfetti. Huntress, blog yazısında, ZK kitaplığının savunmasız bir sürümünün bulunduğunu ve sorunu ConnectWise’a bildirdiğini söyledi. Şirket 90 gün içinde yanıt vermediğinde, araştırmacı Twitter’da kusurdan nasıl yararlanılabileceğine dair birkaç ayrıntı verdi.
Huntress’in araştırmacıları, güvenlik açığını çoğaltmak ve kavram kanıtını iyileştirmek için tweet’teki bilgileri kullandı. Sunucu özel anahtarlarını, yazılım lisans bilgilerini, sistem yapılandırma dosyalarını sızdırmak için güvenlik açığından yararlanabileceklerini ve nihayetinde bir sistem süper kullanıcısı bağlamında uzaktan kod yürütme elde edebileceklerini keşfettiler.
Huntresses’in araştırmacıları, yalnızca MSP konumlarındaki savunmasız ConnectWise sistemlerinde değil, tüm aşağı akış kayıtlı uç noktalarında kod yürütme elde edeceklerini buldu. Bir Shodan taraması, istismarlara karşı savunmasız olan 5.000’den fazla açıkta kalan ConnectWise sunucu yedekleme yöneticisi örneği gösterdi. Huntress, bu sistemlerin çoğunun MSP lokasyonlarında olduğu göz önüne alındığında, etkilenen kuruluşların gerçek sayısının muhtemelen önemli ölçüde daha yüksek olduğunu söyledi.
Klasik Yazılım Tedarik Zinciri Tehdidi
Huntress’te güvenlik araştırmacısı olan Caleb Stewart, kendisinin ve diğer üç araştırmacının geliştirdiği ve ConnectWise’a bildirdiği açıklardan yararlanma zincirinin üç ana bileşen içerdiğini söylüyor: ZK kitaplığında orijinal kimlik doğrulama baypası, SBM’de RCE ve bağlı istemcilerde RCE .
Stewart’a göre, araştırmacılar orijinal güvenlik açığını çoğaltmak için yaklaşık üç gün harcadılar ve ardından R1Soft uygulamasını kötü amaçlı bir amaç için kötüye kullanılabilecek şekilde tersine mühendislik yaptılar. Stewart, güvenlik açığından yararlanmanın karmaşık olduğunu söylüyor. “Fakat [it was] Ne aradıklarını bilen birinin birkaç gün içinde bulması ve sömürmesi mümkün.”
Güvenlik açığı, geliştiricilerin ve son müşterilerin neden ortamlarındaki tüm yazılımlar için güvenlik tavsiyelerinden haberdar olmaları gerektiğinin bir başka örneğidir, diyor Stewart. “Bu temelde bir tedarik zinciri güvenlik açığıdır – müşteri, savunmasız olan ZK’yi bir araya getiren R1Soft SBM’yi satın alır” diyor. Ciddiyet bir kez ortaya çıktıktan sonra, ConnectWise’ın hızlı bir şekilde bir yama çıkarma konusunda harika bir iş çıkardığını düşünüyorum.”
Huntress’te kıdemli güvenlik araştırmacısı ve açığı analiz eden ekibin bir parçası olan John Hammond, geliştirdikleri silahlı saldırı zincirinin geniş bir etkisi olabileceğini söylüyor. “Yalnızca bir uç noktada değil, birden çok noktada bir kimlik doğrulama baypasından tam uzlaşmaya kadar, bu gerçekten yaygın etkiler potansiyeli olan bir ‘göster ve çek’ istismarıdır” diyor.
ConnectWise’dan Beggs, Code White’daki araştırmacı tarafından şirketin kusurun orijinal ifşasına neden yanıt vermediğine ilişkin bir Karanlık Okuma sorusuna doğrudan yanıt vermedi. Ancak bir sorun, araştırmacının hata açıklamalarını ve güvenlik endişelerini göndermek için şirketin olağan kanalı aracılığıyla açıklamamış olması olabilir.
“Uzun zamandır kefil olduk Güven merkezi Beggs, güvenlik endişelerini iletmek için en etkili kanal olarak,” diyor, diğer kanallardan gönderilen sorgular her zaman hak ettikleri ilgiyi görmüyor.
“Bu durumda,” diye ekliyor, “Huntress bu potansiyel güvenlik açığının ne kadar tehlikeli olabileceğini göstererek takdire şayan bir iş çıkardı, sorunu bize doğrudan göstererek sorumlu bir şekilde ele aldı ve ürünlerimizi güncellememiz için bize zaman verdi.”
