ConnectWise ScreenConnect uzaktan yönetim platformunun savunmasız örneklerine yönelik siber saldırılar, bazıları LockBit fidye yazılımının sızdırılmış bir versiyonunu kullanan bir kişi tarafından da dahil olmak üzere hizmetteki kritik bir güvenlik açığının açığa çıkmasının ardından gözlemleniyor.
CVE-2024-1709 (kaportanın altını araştıran bir araştırmacı tarafından istismar edilmesi “önemsiz” olarak tanımlandı) bir kimlik doğrulama bypass güvenlik açığıdır ve bu haftanın başlarında açıklandı. Daha az ciddi ama yine de tehlikeli olan ikinci bir sorun olan CVE-2024-1708 de dolaşımda.
Yamalar mevcuttur ve bunların nasıl uygulanacağı ve bunu kimin yapması gerektiğine ilişkin daha fazla ayrıntıya ConnectWise’dan ulaşılabilir.
Kullanımın kolaylığı göz önüne alındığında, gözlemciler zaten saldırıların kısa sürede gerçekleşeceğini tahmin ediyorlardı ve Sophos X-Ops direktörü Christopher Budd’un gözlemlediği gibi durum artık böyle görünüyor.
“Son 48 saat içinde ScreenConnect’i içeren çok sayıda saldırı gördük. Bunlardan en dikkate değer olanı, 2022’de sızdırılan LockBit 3 fidye yazılımı oluşturma aracı kullanılarak oluşturulan kötü amaçlı yazılımdı: Bu, gerçek LockBit geliştiricilerinden kaynaklanmamış olabilir. Ama aynı zamanda RAT’ları da görüyoruz [remote access Trojans], bilgi hırsızları, şifre hırsızları ve diğer fidye yazılımları. Bütün bunlar birçok farklı saldırganın ScreenConnect’i hedef aldığını gösteriyor” dedi Budd.
“ScreenConnect’i kullanan herkes, savunmasız sunucuları ve istemcileri derhal izole etmek, bunlara yama uygulamak ve herhangi bir tehlike belirtisi olup olmadığını kontrol etmek için gerekli adımları atmalıdır. Sophos’ta, Sophos X-Ops’un sunduğu kapsamlı rehberlik ve tehdit avcılığı materyalleri bulunmaktadır. Araştırmalarımıza devam ediyoruz ve gerektiğinde güncellemeler yapacağız” dedi Computer Weekly’ye e-postayla gönderilen yorumlarda.
Yama yönetimi uzmanı Action1’in başkanı ve kurucu ortağı Mike Walters, ConnectWise müşterilerini oturup dikkate almaya çağıranlar arasındaydı. “Potansiyel olarak güvenliği ihlal edilmiş binlerce örnek olabilir. Bu güvenlik açıklarından yararlanan büyük saldırı, ScreenConnect’in MSP’ler ve MSSP’ler arasında çok popüler bir RMM olması nedeniyle Kaseya güvenlik açığının 2021’deki istismarına benzer olabilir ve benzer hasara yol açabilir” dedi.
“Güvenlik danışma belgesi, güncellenmiş ScreenConnect 22.4 ila 23.9.7 sürümlerinin yayınlanmasının planlandığını belirtiyor ve öncelikli olarak ScreenConnect 23.9.8 sürümüne yükseltme önerisini vurguluyor.
Walters, “Bulut hizmetindeki bu güvenlik açıklarını gidermek için güncellemeler uygulandığından, ScreenConnect sunucularını ‘screenconnect.com’ veya ‘hostedrmm.com’ etki alanlarında barındıran bulut müşterileri etkilenmez,” diye ekledi.
Bu yazının yazıldığı sırada Shodan verileri, ScreenConnect’in internete açık yaklaşık 9.000 savunmasız örneğinin bulunduğunu ve bunların 500’den biraz azının Birleşik Krallık’ta bulunduğunu gösteriyor.
Sophos, kullanım kolaylığının kullanıcıların maruz kaldıkları riskleri değerlendirmesini ve basit yama uygulamasının ötesinde adımlar atmasını zorunlu hale getirdiğini söyledi.
Maksimum koruma için güvenlik ekipleri, harici yönetilen hizmet sağlayıcılar (MSP’ler) tarafından yürütülenler de dahil olmak üzere tüm ScreenConnect kurulumlarını belirlediklerinden emin olmalı, yama uyguladıklarından emin olana kadar istemci yazılımını tanımlanan cihazlardan yalıtmalı veya kaldırmalıdır ve ardından bu cihazları kontrol etmelidir. Potansiyel kötü amaçlı faaliyetler için. Bu, yeni yerel kullanıcıların oluşturulmasını, şüpheli istemci yazılımı etkinliğini, sistem ve etki alanı incelemesini ve birisinin güvenlik kontrollerini devre dışı bırakmaya çalıştığını gösterebilecek tüm eylemleri içerebilir.
Computer Weekly yorum almak için ConnectWise’la temasa geçti ancak kuruluş yayın sırasında yanıt vermemişti.