ConnectWise’ın kısa süre önce müşterilerin yama yapmasını istediği iki ScreenConnect güvenlik açığına nihayet CVE numaraları atandı: kimlik doğrulama bypass’ı için CVE-2024-1709, yol geçiş kusuru için CVE-2024-1708.
ConnectWise ayrıca ScreenConnect’in daha yeni bir sürümünü (v23.9.10.8817) yayımladı; bu sürüm, iki kusura yönelik düzeltmeleri ve diğer güvenlikle ilgili olmayan düzeltmeleri içerir ancak – daha da önemlisi – artık bakım altında olmayan müşteriler, istismara karşı kendilerini korumak için bu sürüme yükseltme yapabilirler.
Onaylanmış kullanım, PoC mevcut
ConnectWise, ConnectWise Güven Merkezi aracılığıyla güvenlik açığı açıklama kanalı aracılığıyla rapor edildiğini söyleyerek iki kusurun varlığını 19 Şubat Pazartesi günü paylaştı ve kendi kendine barındırılan veya şirket içi müşterilerin kendi güvenliklerini güncellemelerini istedi. sunucuları mümkün olan en kısa sürede 23.9.8 sürümüne geçirin.
Salı günü şirket, çeşitli IP adreslerinden yararlanma girişimlerini doğruladı ve Huntress araştırmacıları, hem CVE-2024-1709 hem de CVE-2024-1708’e yönelik teknik analizlerini ve CVE-2024-1709’a yönelik kavram kanıtı istismarlarının bir demosunu yayınladılar. .
WatchTowr Labs, CVE-2024-1709’a yönelik bir kavram kanıtlama istismarı yayınladı (RCE zincirinde ilk adım olarak ConnectWise ScreenConnect’e yeni bir yönetici kullanıcı eklemek için).
Huntress araştırmacıları “‘istismar’ önemsiz ve utanç verici derecede kolay” dedi ve bunun uzaktan kod yürütülmesine nasıl yol açabileceğini gösterdi. Ayrıca potansiyel kötü amaçlı faaliyetlere ilişkin kendi risk göstergelerini ve tespit kurallarını da paylaştılar.
Shadowserver Vakfı, yaklaşık 3800 savunmasız ConnectWise ScreenConnect örneğinin bulunduğunu ve bunların bal küpü sensörlerindeki ilk istismar talebini aldıklarını söylüyor. “Uzlaşma belirtileri olup olmadığını kontrol edin (yeni kullanıcılar eklendi) ve yama yapın!” tavsiye ettiler.
Güvenliği ihlal eden kanıtları güncelleyin ve kontrol edin
Daha önce belirtildiği gibi, TÜM ConnectWise ScreenConnect müşterileri artık sabit bir sürüme (v23.9.10.8817) yükseltme yapabilir ve bunu hemen yapmalıdır.
Palo Alto Networks Birimi, “Güvenlik açığının ciddiyeti ve kapsamı ile etkilenen ürünün doğası göz önüne alındığında, bu güvenlik açığının siber suçlular ve ulus devlet aktörleri de dahil olmak üzere çeşitli türdeki tehdit aktörleri tarafından aktif olarak hedef alınacağını büyük bir güvenle değerlendiriyoruz.” 42 görüş bildirdi.
ConnectWise aynı zamanda CVE-2024-1709 yoluyla ele geçirildiğinden şüphelenen müşterilere de tavsiyelerde bulunmuştur: ScreenConnect kurulumlarını yükseltmeleri ve oturum açtıktan sonra Rapor Yöneticisi uzantısını kullanarak kötü amaçlı komutları/araçları veya bağlantıları kontrol etmeleri gerekir.