ConnectWise, ScreenConnect uzak masaüstü uygulamasında biri kritik olan iki güvenlik açığını açıkladı.
Kritik hata CVE-2024-1709, güvenlik şirketi Horizon3 tarafından bir X gönderisinde istismar edilmesi “son derece önemsiz” olarak tanımlandı.
CVSS puanı 10,0 olan CVE-2024-1709, bir kimlik doğrulama atlama güvenlik açığıdır.
Güvenlik açığıyla ilgili teknik bir tartışmayı burada yayınlayan (ve burada bir kavram kanıtı bulunan) Horizon3, bunun “saldırganın ScreenConnect sunucusunda kendi yönetici kullanıcısını oluşturmasına izin vererek onlara sunucu üzerinde tam kontrol sağlamasına izin verdiğini” söyledi.
ConnectWise, tavsiye niteliğindeki açıklamasında, başlangıçta güvenlik açıklarının vahşi ortamda istismar edildiğine dair “hiçbir kanıt” olmadığını söyledi.
Ancak daha sonra uyarıyı güncelleyerek 155.n.n3.n aralığındaki iki saldırgan IP adresini ve 118.nnn aralığındaki bir saldırgan IP adresini tanımlayarak güvenlik ihlali göstergesi olduğunu söyledi.
İkinci güvenlik açığı olan CVE-2024-1708, CVSS puanı 8,8 olan bir yol geçiş hatasıdır.
Bu, “bir saldırganın uzaktan kod yürütmesine veya gizli verileri veya kritik sistemleri doğrudan etkilemesine olanak tanıyan” bir yol geçiş hatasıdır.
Horizon3, güvenlik açıklarına dikkat çeken tek siber güvenlik şirketi değil.
Yönetilen güvenlik şirketi Huntress’in burada kavram kanıtlarına (PoC) bağlantı içeren bir analizi var; ve Watchtower Labs’ın burada kendi istismarı var.
ScreenConnect daha önce Wipro’ya yapılan bir saldırıda saldırganlara uzaktan erişim sağlamak için kurban bilgisayarlara bırakılmıştı.
Ocak 2023’te, Kuzey Amerika Siber ve Altyapı Güvenliği Ajansı, meşru uzaktan erişim araçlarını hedeflere bırakan kimlik avı saldırılarına karşı yazılımı genel bir uyarıya dahil etti.
Hatalar, ConnectWise tarafından bulutta barındırılan ScreenConnect’i etkilemez.