Tanınmış bir yazılım şirketi olan ConnectWise, 19 Şubat 2024’te, kendi kendine barındırılan ScreenConnect sunucularındaki iki önemli güvenlik açığını ortaya çıkaran acil bir güvenlik bülteni yayınladı.
Bu güvenlik açıkları ilk olarak 13 Şubat’ta bir güvenlik açığı açıklama programı aracılığıyla rapor edildi ve 20 Şubat’a kadar aktif olarak kullanılmadı.
CVE-2024-1708 olarak tanımlanan ilk güvenlik açığı, 8,4 gibi yüksek önem puanına sahip bir yol geçiş sorunudur.
İkincisi, CVE-2024-1709, maksimum önem puanı 10,0 olan ve kritik bir riske işaret eden bir uzaktan kod yürütme kusurudur.
Kötü amaçlı yazılım dosyasını, ağı, modülü ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: ANY.RUN kötü amaçlı yazılım korumalı alanıve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.
Shadowserver Foundation ve Shodan arama motoru tarafından yapılan analiz, ağırlıklı olarak Amerika Birleşik Devletleri, Kanada ve Birleşik Krallık’ta olmak üzere 8.200’den fazla kamuya açık, yama yapılmamış ScreenConnect sunucusunu buldu.
Açıklardan Yararlanmalar ve Kötü Amaçlı Yazılım Dağıtımı
21 Şubat’a kadar, GitHub’a bir kavram kanıtı istismarı yüklendi ve CVE-2024-1709 için bir Metasploit modülü piyasaya sürüldü; bu, güvenlik açıklarından farklı beceri seviyelerindeki bilgisayar korsanları tarafından kolayca yararlanılabilir hale geldi.
Secureworks araştırmacıları, müşterilerinin bazı sunucularının bu güvenlik açıklarına karşı tarandığını ve bazılarının izinsiz giriş kanıtları gösterdiğini keşfetti.
Olaylardan biri, güvenliği ihlal edilmiş bir ScreenConnect sunucusu aracılığıyla bir Cobalt Strike Beacon yükünün yürütülmesini içeriyordu.
Başka bir saldırı, meşru bir SentinelUI.exe dosyasının, bir DLL dosyasının ve kodlanmış bir veri içeren şifrelenmiş bir dosyanın indirilmesini içeriyordu.
Bu kötü amaçlı yazılım, iletişim için Microsoft Windows Update ağ trafiğinin kimliğine büründü.
Huntress ve Sophos, Cobalt Strike Beacon ile LockBit fidye yazılımı ve AsyncRAT gibi diğer kötü amaçlı yazılımların bu güvenlik açıklarından yararlandıktan sonra dağıtıldığı benzer olaylar bildirdi.
Kuruluşların, savunmasız ScreenConnect sunucularını derhal yükseltmeleri ve istismar işaretleri için adli tıp incelemeleri yapmaları önerilir.
Ayrıca, güvenlik bültenlerinde sağlanan göstergelere göre erişimi incelemek ve kısıtlamak için mevcut kontrollerin kullanılmasını da önerirler.
Secureworks Counter Threat, saldırgan altyapısıyla ilişkili IP adresleri ve alan adlarının bir listesini, dağıtılan Cobalt Strike Beacon DLL’lerinin MD5, SHA1 ve SHA256 karmalarını ve diğer kötü amaçlı yazılım örneklerini paylaştı; listeye buradan ulaşabilirsiniz.
Kötü amaçlı içerik içerebileceğinden kuruluşların bu göstergeleri tarayıcıda açmadan önce riskleri göz önünde bulundurması gerekir.
ConnectWise’ın güvenlik bülteni, ScreenConnect sunucularını kullanan kuruluşların, ağlarını bu ciddi tehditlerden korumak amacıyla anında harekete geçmeleri için kritik bir uyarı görevi görür.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.