ConnectWise şirketin ScreAncect, Otomatik ve ConnectWise RMM çözümlerini kullanan müşterilere tüm temsilcileri güncellemeleri ve/veya güncellemenin 13 Haziran Cuma günü saat 20: 00’de ET veya risk kesintileri olarak dağıtıldığını doğrulamaları istenir.
Uyarmanın nedeni, “üçüncü taraf bir araştırmacı tarafından ScreAnconnect’in potansiyel olarak kötü bir aktör tarafından nasıl kötüye kullanılabileceği konusunda dile getirilen endişeler nedeniyle, önceki Connectwise yazılım yapılarını imzalamak için kullanılan dijital sertifikaların yakın bir şekilde iptal edilmesidir.
ConnectWise son zamanlarda bir Nation State oyuncusunun bazı Connectwise müşterilerinin Screenconect bulut örneklerini tehlikeye attığını itiraf etti, ancak bu özel sorunun sistemlerinden veya sertifikalarından ödün vermediğini söylüyor.
Bununla birlikte, üçüncü taraf araştırmacı tarafından işaretlenen zayıflık aylardır saldırganlar tarafından sömürülmüş olabilir.
Bunların her şeyi ne hakkında?
ConnectWise müşterilerine gönderilen ilk e -posta uyarısı, sertifikaların 10 Haziran Salı günü döndürüleceğini, ancak daha sonra son tarihin 13 Haziran’a geri itildiğini söyledi (şirketin 9 Haziran’daki “En son tavsiyeler” sayfasında açıklandığı gibi).
Daha sonraki duyuru, üçüncü taraf bir araştırmacı tarafından gündeme getirilen endişelerin, Screenconnect’in önceki sürümlerde belirli yapılandırma verilerini nasıl ele aldığını, ancak bunun tehdit aktörleri tarafından nasıl kullanılabileceğine dair ayrıntıları sağlamadığını söylüyor.
Bu bilgilere yalnızca müşteriler tarafından erişilebilir, ancak bazıları Reddit ile ilgili bir tartışmada paylaştı.
Bir kullanıcıya göre, sertifika iptaline yol açan sorun, yapılandırma verilerini yükleyicinin imzalanmayan (ancak yükleyicisinin bir parçası) kullanılabilir bir alanında ScreAnconnect depolamaktır.
“Bu yeteneği, ajanın imzayı geçersiz kılmadan geri çağırması gibi URL gibi bağlantı için yapılandırma bilgilerini (aracı ve sunucu arasında) geçmek için kullanıyoruz. İmzasız alan, bir uzaktan kontrol çözümünün yetenekleri ile birleştirildiğinde, yazılımımız ve diğerleri tarafından özelleştirme için kullanılır,” bugünün güvenlik standartlarına göre güvensiz bir tasarım deseni oluşturabilir.
Olası Kötüye Kullanım
ConnectWise’a, yapılandırma sorununun saldırganlar tarafından, kötü amaçlı yazılım sunmak için saldırgan kontrollü sunuculara bağlanmak üzere yeniden yapılandırılmış meşru, dijital olarak imzalanmış ConnectWise ScreAncect istemci yazılımına sahip olup olmadığını sormak için ulaştık.
LUMU araştırmacılarının daha önce de belirttiği gibi, bu nedenle değiştirilmiş screAncect istemci yazılımı EDR’leri atlar (geçerli bir bağlantı imzası nedeniyle) ve anormal davranış sergilemez.
“Komut ve kontrol için özel kötü amaçlı yazılımları dağıtmak yerine, saldırganlar meşru, yaygın olarak kullanılan ve güvenilir bir uzaktan yönetim aracından yararlanır: screenconnect (ConnectWise Control). Kötü amaçlı yapılandırmayı bir screenconnect istemcisine yerleştirerek ve kullanıcıları kimlik avı yoluyla yüklemeye, yazılımın uzak erişim, dosya aktarımı ve komut yürütme için doğal özelliklerini ele geçirirler”.
Müşterilerin gerektirdiği eylem
ConnectWise, kamu açıklamasında, “Yeni sertifikalar yayınlamanın yanı sıra, bu yapılandırma verilerinin ScreAnconnect’te nasıl yönetildiğini geliştirmek için bir güncelleme yayınlıyoruz” dedi.
Sertifika iptali/rotasyonu nedeniyle, ScreAnconnect veya Automate’in şirket içi sürümlerini kullanan müşterilere en son yapıya güncelleme ve 13 Haziran’dan önce tüm ajanların güncellendiğini doğrulaması talimatı verilmiştir.
Automate ve RMM’nin bulut örneklerindeki sertifikalar ve acenteler şirket tarafından güncelleniyor ve müşterilerin acentelerinin 13 Haziran son tarihinden önce en son sürümü yürüttüğünü doğrulamaları isteniyor.
Şirket, “ScreAnconnect Cloud örnekleri için, bir kez hazırlandıktan sonra otomatik olarak dağıtılacak olan güncellenmiş yapıyı kesinleştiriyoruz” dedi.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!