Araştırmacılar, ConnectWise uzaktan erişim yazılımındaki kolay istismar edilen güvenlik açıklarının artık toplu saldırı altında olduğunu söylüyor

Güvenlik araştırmacıları, dünya çapında bir milyondan fazla şirket tarafından kullanılan popüler bir uzaktan erişim aracındaki bir çift kolay istismar edilen kusurun, bilgisayar korsanlarının fidye yazılımı dağıtmak ve hassas verileri çalmak için bu güvenlik açıklarını kötüye kullandığını ve artık toplu olarak istismar edildiğini söylüyor.

Siber güvenlik devi Mandiant, Cuma günü yaptığı bir paylaşımda, BT ve teknisyenlerin internet üzerinden doğrudan müşteri sistemleri üzerinden uzaktan teknik destek sağlamasına olanak tanıyan popüler bir uzaktan erişim aracı olan ConnectWise ScreenConnect’teki iki kusurun “toplu istismarını tespit ettiğini” söyledi.

Bu iki güvenlik açığı, araştırmacıların saldırganların istismar etmesi için “utanç verici derecede kolay” olduğunu düşündüğü bir kimlik doğrulama atlama güvenlik açığı olan CVE-2024-1709’u ve bilgisayar korsanlarının kötü amaçlı yazılım gibi kötü amaçlı kodları uzaktan yerleştirmesine olanak tanıyan bir yol geçiş güvenlik açığı olan CVE-2024-1708’i içeriyor. savunmasız ConnectWise müşteri örneklerinde.

ConnectWise kusurları ilk olarak 19 Şubat’ta açıkladı ve şirket içi müşterilerini derhal güvenlik yamalarını yüklemeye çağırdı. Ancak binlerce sunucu savunmasız durumda Shadowserver Vakfı’nın verilerine göreve bu sunucuların her biri 150.000’e kadar müşteri cihazını yönetebilir.

Mandiant, iki kusurdan yararlanan “çeşitli tehdit aktörlerinin” tespit edildiğini söyledi ve “birçoğunun fidye yazılımı dağıtacağı ve çok yönlü gasp gerçekleştireceği” konusunda uyardı ancak saldırıları belirli tehdit gruplarına bağlamadı.

Finlandiyalı siber güvenlik firması WithSecure Pazartesi günü yayınlanan bir blog yazısında, araştırmacılarının ScreenConnect kusurlarının birden fazla tehdit aktörü tarafından “toplu olarak sömürüldüğünü” gözlemlediğini söyledi. WithSecure, bu bilgisayar korsanlarının parola çalan programları, arka kapıları ve bazı durumlarda fidye yazılımlarını dağıtmak için güvenlik açıklarından yararlandığını söyledi.

WithSecure ayrıca bilgisayar korsanlarının, yama yapılmamış ScreenConnect sistemlerine KrustyLoader arka kapısının Windows versiyonunu dağıtmak için kusurlardan yararlandığını gözlemlediğini söyledi; bu, son zamanlarda Ivanti’nin kurumsal VPN yazılımındaki güvenlik açıklarından yararlanan bilgisayar korsanları tarafından yerleştirilen aynı tür arka kapıdır. WithSecure, etkinliği henüz belirli bir tehdit grubuna atfedemediğini söyledi ancak diğerleri geçmiş etkinliği casusluk odaklı Çin destekli bir bilgisayar korsanlığı grubuyla ilişkilendirdi.

Sophos ve Huntress’teki güvenlik araştırmacıları geçen hafta, LockBit fidye yazılımı çetesinin ConnectWise açıklarından yararlanan saldırılar başlattığını gözlemlediklerini söyledi; bu, Rusya bağlantılı kötü şöhretli siber suç çetesinin operasyonlarını sekteye uğrattığı iddia edilen uluslararası bir kolluk kuvveti operasyonundan sadece birkaç gün sonraydı.

Huntress, analizinde, o zamandan bu yana “bir dizi saldırganın” fidye yazılımı dağıtmak için açıklardan yararlandığını gözlemlediğini ve açıklardan yararlanan “önemli sayıda” saldırganın kripto para birimi madenciliği yazılımı dağıttığını, kalıcı erişimi sürdürmek için ek “meşru” uzaktan erişim araçları yüklediğini gözlemlediğini söyledi. Bir kurbanın ağını kontrol edebilir ve güvenliği ihlal edilmiş makinelerde yeni kullanıcılar oluşturabilirsiniz.

Henüz kaç ConnectWise ScreenConnect müşterisinin veya son kullanıcısının bu güvenlik açıklarından etkilendiği bilinmiyor ve ConnectWise sözcüleri TechCrunch’ın sorularına yanıt vermedi. Şirketin web sitesi, kuruluşun uzaktan erişim teknolojisini 13 milyondan fazla cihazı yöneten bir milyondan fazla küçük ve orta ölçekli işletmeye sağladığını iddia ediyor.

Pazar günü ConnectWise, TechCrunch ile CISO’su Patrick Beggs arasında Pazartesi günü yapılması planlanan önceden ayarlanmış bir röportajı iptal etti. ConnectWise son dakika iptaline ilişkin bir neden belirtmedi.

ConnectWise güvenlik açığından etkileniyor musunuz? +441536 853968 numaralı telefondan Signal üzerinden veya carly.page@techcrunch.com adresine e-posta göndererek Carly Page ile güvenli bir şekilde iletişime geçebilirsiniz. TechCrunch’a SecureDrop aracılığıyla da ulaşabilirsiniz.