Destek için kullanılan uzak masaüstü ve erişim yazılımı ConnectWise ScreenConnect’i iki yeni güvenlik açığı etkiliyor: CVE-2024-1709 ve CVE-2024-1708; ilki özellikle kuruluşlar için tehlikelidir.
ScreenConnect 23.9.7 ve önceki sürümleri etkileyen CVE-2024-1709 güvenlik açığı, uzaktaki herhangi bir saldırganın kimlik doğrulamayı atlayarak ScreenConnect kullanıcı veritabanını silmesine ve yönetici kullanıcının kontrolünü ele geçirmesine olanak tanır. İnternetten erişilebilen 3.000’den fazla savunmasız örnekle, saldırganlar tarafından büyük çapta istismar devam ediyor. Güvenlik şirketleri, güvenlik açığından başarıyla yararlanıldıktan sonra fidye yazılımlarının, bilgi hırsızlarının ve Cobalt Strike yüklerinin yüklendiğini gözlemledi.
CVE-2024-1709 kadar ciddi olmayan CVE-2024-1708 güvenlik açığı, yol geçişine izin vererek bir saldırganın erişilmemesi gereken dosya ve dizinlere erişmesine olanak tanıyor.
ScreenConnect CVE-2024-1709 güvenlik açığıyla ilgili teknik ayrıntılar
ABD merkezli siber güvenlik şirketi Huntress, ScreenConnect CVE-2024-1708 ve CVE-2024-1709 güvenlik açıklarıyla ilgili teknik ayrıntıları yayınladı; ikincisi özellikle tehlikelidir çünkü açıkta kalan örneklerde özel bir yola yapılan basit bir istek, bir saldırganın kurulum sihirbazına bağlanmasına olanak tanır örneğin (Şekil A).
Huntress araştırmacılarının açıkladığı gibi kurulum sihirbazı, ilk yönetici kullanıcıyı ayarlamaktan ve sisteme bir lisans yüklemekten sorumludur. Huntress ekibi şunları yazdı: “Bu kurulumun kullanıcı oluşturma kısmı, kurulum sayfasındaki ‘İleri’ düğmesine tıkladıktan hemen sonra gerçekleşir, dolayısıyla sistemden yararlanmak için kurulum sihirbazını tamamen tamamlamaya gerek yoktur.” Bir saldırgan bu adımı tamamlarsa, dahili kullanıcı veritabanının üzerine tamamen yazılacak ve tüm yerel kullanıcılar silinerek yalnızca saldırganın örneğin yöneticisi olarak kalması sağlanacaktır.
Araştırmacılara göre, bu yapıldıktan sonra örnek üzerinde tam uzaktan kod yürütme elde etmek için kötü amaçlı bir ScreenConnect uzantısı oluşturup yüklemek önemsizdir.
Yol geçişine izin veren daha az ciddi bir güvenlik açığı olan CVE-2024-1708 adlı başka bir güvenlik açığı da rapor edildi.
CVE-2024-1709’un vahşi doğada büyük çapta sömürülmesi başladı
CVE-2024-1709’dan yararlanmaya yönelik konsept kanıtı GitHub’da yayınlandı ve güvenliği ihlal edilen sisteme nasıl yeni bir kullanıcı ekleneceğini gösterdi.
Siber güvenlik şirketi Sophos, 21 Şubat 2024’te, saldırganların 30 müşteri ağına LockBit oluşturma aracıyla oluşturulan fidye yazılımlarını bıraktığı çok sayıda saldırı gözlemledi. Önemli not: LockBit fidye yazılımı oluşturma aracının kullanılması, özellikle LockBit altyapısı yakın zamanda kapatılmışsa, LockBit geliştiricileriyle bağları olduğu anlamına gelmez. Bu saldırıların arkasında inşaatçıya erişimi olan herhangi bir siber suçlu olabilir ve Sophos’un gözlemlediği fidye notunda “butthtiRansom” varyantından bahsediliyor. Sophos, LockBit oluşturucuyu temel alan “LockBit Black” adlı başka bir fidye yazılımının gözlemlendiğini ancak müşteri ortamına dağıtılamayacağını belirtti.
Parola hırsızları, RAT’lar ve Cobalt Strike yükleri
Fidye yazılımı dışındaki siber güvenlik saldırıları şu anda ScreenConnect’in açıkta kalan savunmasız örneklerine saldırıyor; örneğin, şifre çalan yazılımlar (Vidar/Redline gibi) veya RAT’lar (AsyncRAT gibi) CVE-2024-1709 güvenlik açığından yararlanıldıktan sonra doğada da gözlemlenmiştir.
Cobalt Strike yükleri aynı zamanda açığa çıkan ScreenConnect bulut sunucularını da etkiledi. Sophos, ScreenConnect’in çalıştırmadan önce dosyaları indirdiği geçici klasöre bir .cmd dosyası bırakan üç benzer saldırı gördü. Cmd, ek bir yük indirmek için PowerShell’i başlatmayı denedi ancak uç nokta koruması nedeniyle başarısız oldu.
Çoğunlukla ABD merkezli IP adreslerinde açığa çıkan binlerce ScreenConnect örneği
Saldırı yüzeyi keşfi ve saldırı yüzeyi yönetimine adanmış bir Fransız siber savunma arama motoru olan ONYPHE, TechRepublic’e açığa çıkan ScreenConnect örnekleri hakkında istatistikler sağladı.
19-25 Şubat 2024 tarihleri arasında ONYPHE, 5.731 ScreenConnect benzersiz IP adresinin açığa çıktığını gördü ve bunların 3.284’ü CVE-2024-1709’a karşı savunmasızdı. Bu bulut sunucularının çoğu ABD merkezli IP adreslerinde (%66,12) çalışıyor, bunu Kanada (%7,84) ve Birleşik Krallık (%7,35) takip ediyor (Şekil B).
Bu ConnectWise ScreenConnect güvenlik açıkları yoluyla istismara karşı nasıl korunulur?
Bu ConnectWise ScreenConnect güvenlik açıklarından yararlanılması nasıl tespit edilir?
Algılamayla ilgili olarak, sunucu günlüklerinde “/SetupWizard.aspx/” kalıbını aramak bir saldırı girişimine işaret edebilir. Saldırganların veri yüklerini depolamak ve yürütmek için kullanılabileceğinden “%ProgramFiles(x86)%ScreenConnectApp_Extensions” klasörü de izlenmelidir.
BAKIN: Bu Olay Raporlama ve Müdahale Prosedürleri Politikasını TechRepublic Premium’dan indirin
İşletmenizi bu ConnectWise ScreenConnect istismarlarından nasıl korursunuz?
ConnectWise, 23 Şubat 2024 tarihli güvenlik bülteninde “artık bakım altında olmayan iş ortaklarını ek ücret ödemeden 22.4 sürümünü yüklemeye uygun hale getirerek CVE-2024-1709’u düzeltecek bir istisna adımı attıklarını” belirtti.
ConnectWise, şirket içi iş ortaklarının, bildirilen güvenlik açıklarını düzeltmek için ScreenConnect’i derhal 23.9.8 veya daha yüksek bir sürüme güncellemesini önerir. ConnectWise ayrıca, yama uygulanmamış şirket içi kullanıcılar için, bir örneğin 23.9.8 veya daha yeni bir sürümde olmaması halinde askıya alınmasını sağlayan ek bir azaltma adımı da uygulamaya koydu.
Bulut iş ortakları, ConnectWise tarafından bildirilen güvenlik açıklarına karşı düzeltilir. Şirket içi iş ortaklarının derhal ScreenConnect’in en son sürümüne yükseltmeleri önerilir. ConnectWise, lisans kısıtlamalarını kaldırdı, böylece artık bakım kapsamında olmayan iş ortakları ScreenConnect’in en son sürümüne yükseltme yapabilir.
Açıklama: Trend Micro için çalışıyorum ancak bu makalede ifade edilen görüşler bana aittir.
Kaynak: https://www.techrepublic.com/article/connectwise-screenconnect-vulnerability/