Araştırmacılar, saldırı altındaki yüksek riskli ConnectWise kusurunun istismar edilmesinin ‘utanç verici derecede kolay’ olduğu konusunda uyarıyor

Huntress’in CEO’su “Buna bir son veremem, bu çok kötü” dedi

Güvenlik uzmanları Yaygın olarak kullanılan bir uzaktan erişim aracındaki yüksek riskli bir güvenlik açığından yararlanmanın “önemsiz ve utanç verici derecede kolay” olduğu konusunda uyarıda bulunulurken, yazılımın geliştiricisi, kötü niyetli bilgisayar korsanlarının bu kusurdan aktif olarak yararlandığını doğruladı.

Maksimum önem derecesine sahip güvenlik açığı, yönetilen BT sağlayıcılarının ve teknisyenlerinin müşteri sistemleri üzerinde gerçek zamanlı uzaktan teknik destek sağlamasına olanak tanıyan popüler bir uzaktan erişim yazılımı olan ConnectWise ScreenConnect’i (eski adıyla ConnectWise Control) etkiler.

Kusur, bir saldırganın savunmasız sunuculardan gizli verileri uzaktan çalmasına veya kötü amaçlı yazılım gibi kötü amaçlı kod dağıtmasına olanak tanıyan bir kimlik doğrulama atlama güvenlik açığı olarak tanımlanıyor. Güvenlik açığı ilk olarak ConnectWise’a 13 Şubat’ta bildirildi ve şirket, 19 Şubat’ta yayınlanan bir güvenlik danışma belgesinde hatanın ayrıntılarını kamuya açıkladı.

ConnectWise başlangıçta kamuya açık bir istismar belirtisi olmadığını söyledi, ancak Salı günü yapılan bir güncellemede ConnectWise’ın “olay müdahale ekibimizin araştırıp onaylayabildiği, güvenliği ihlal edilmiş hesaplarla ilgili güncellemeler aldığını” doğruladığını belirtti.

Şirket ayrıca “yakın zamanda tehdit aktörleri tarafından kullanıldığını” belirttiği üç IP adresini de paylaştı.

ConnectWise sözcüsü Amanda Lee, TechCrunch tarafından sorulduğunda kaç müşterinin etkilendiğini söylemeyi reddetti ancak ConnectWise’ın şüpheli izinsiz girişlere ilişkin “sınırlı raporlar” gördüğünü belirtti. Lee, müşteri ortamlarının %80’inin bulut tabanlı olduğunu ve 48 saat içinde otomatik olarak yama uygulandığını ekledi.

ConnectWise’ın herhangi bir veri sızıntısından haberdar olup olmadığı veya herhangi bir veriye erişilip erişilmediğini tespit edecek araçlara sahip olup olmadığı sorulduğunda Lee, “bize herhangi bir veri sızıntısı bildirilmedi” dedi.

Web sitesi, Florida merkezli ConnectWise’ın uzaktan erişim teknolojisini bir milyondan fazla küçük ve orta ölçekli işletmeye sağladığını söylüyor.

Siber güvenlik şirketi Huntress Çarşamba günü aktif olarak yararlanılan ConnectWise güvenlik açığının bir analizini yayınladı. Huntress güvenlik araştırmacısı John Hammond, TechCrunch’a Huntress’in “mevcut ve aktif” istismarın farkında olduğunu ve tehdit aktörlerinin “daha odaklı istismar sonrası ve kalıcılık mekanizmalarına” ilerlediğinin erken işaretlerini gördüğünü söyledi.

Hammond, hem güvenlik araştırmacıları tarafından test amacıyla kullanılan hem de kötü niyetli bilgisayar korsanları tarafından sızmak için kötüye kullanılan popüler istismar çerçevesi Cobalt Strike’a atıfta bulunarak, “Düşmanların halihazırda Cobalt Strike işaretlerini dağıttıklarını ve hatta etkilenen sunucunun üzerine bir ScreenConnect istemcisi yüklediklerini görüyoruz” dedi. ağlar. “Çok yakın gelecekte bu tavizlerden daha fazlasını bekleyebiliriz.”

Huntress CEO’su Kyle Hanslovan, Huntress’in kendi müşteri telemetrisinin 1.600’den fazla savunmasız sunucuya görünürlük gösterdiğini ekledi.

“Bunu şekerle kaplayamam – bu bok kötü. Yüzbinlerce uç noktayı kontrol eden on binden fazla sunucudan bahsediyoruz,” diye TechCrunch’a konuşan Hanslovan, 8.800’den fazla ConnectWise sunucusunun istismara karşı savunmasız kaldığını belirtti.

Hanslovan, “bu yazılımın yaygınlığı ve bu güvenlik açığının sağladığı erişim nedeniyle, herkes için ücretsiz bir fidye yazılımının eşiğinde olduğumuzu gösteriyor” diye ekledi.

ConnectWise, aktif olarak yararlanılan güvenlik açığı için bir yama yayınladı ve şirket içi ScreenConnect kullanıcılarını düzeltmeyi hemen uygulamaya çağırıyor. ConnectWise ayrıca uzak masaüstü yazılımını etkileyen ayrı bir güvenlik açığına yönelik bir düzeltme de yayınladı. Lee, TechCrunch’a şirketin bu kusurun istismar edildiğine dair hiçbir kanıt görmediğini söyledi.

Bu yılın başlarında, ABD hükümet kurumları CISA ve Ulusal Güvenlik Ajansı, ConnectWise SecureConnect de dahil olmak üzere birden fazla federal sivil yürütme organını hedef alan “meşru uzaktan izleme ve yönetim (RMM) yazılımının kötü niyetli kullanımını içeren yaygın bir siber kampanya” gözlemledikleri konusunda uyardı. ajanslar.

ABD kurumları ayrıca bilgisayar korsanlarının AnyDesk’in uzaktan erişim yazılımını kötüye kullandığını da gözlemledi; bu yazılım, bu ayın başında üretim sistemlerinin tehlikeye girdiğine dair kanıt bulduktan sonra şifreleri sıfırlamak ve sertifikaları iptal etmek zorunda kaldı.

TechCrunch’ın sorularına yanıt olarak CISA’nın siber güvenlikten sorumlu yönetici yardımcısı Eric Goldstein şunları söyledi: “CISA, ConnectWise ScreenConnect’i etkileyen bildirilen bir güvenlik açığının farkında ve gerekli rehberlik ve yardımı sağlamak için potansiyel istismarı anlamaya çalışıyoruz.”

ConnectWise güvenlik açığından etkileniyor musunuz? +441536 853968 numaralı telefondan Signal üzerinden veya şu adrese e-posta göndererek Carly Page ile güvenli bir şekilde iletişime geçebilirsiniz: carly.page@techcrunch.com. TechCrunch’a şu adresten de ulaşabilirsiniz: SecureDrop.