ConnectWise, müşterilerini, uzaktan kod yürütme (RCE) saldırılarında kullanılabilecek maksimum önem derecesine sahip bir kusura karşı ScreenConnect sunucularına derhal yama yapmaları konusunda uyardı.
Bu güvenlik hatası, saldırganların gizli verilere erişim sağlamak veya kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda savunmasız sunucularda uzaktan rastgele kod yürütmek için kullanabileceği bir kimlik doğrulama atlama zayıflığından kaynaklanmaktadır.
Şirket ayrıca uzak masaüstü yazılımında, yalnızca yüksek ayrıcalıklara sahip saldırganlar tarafından kötüye kullanılabilen bir yol geçiş güvenlik açığını da yamaladı.
ConnectWise, “Güvenlik açıkları, ConnectWise Güven Merkezi aracılığıyla güvenlik açığı açıklama kanalımız aracılığıyla 13 Şubat 2024’te bildirildi” diye uyardı.
“Bu güvenlik açıklarının yaygın olarak istismar edildiğine dair hiçbir kanıt yok, ancak şirket içi ortaklar tarafından belirlenen bu güvenlik risklerini gidermek için derhal harekete geçilmelidir.”
ConnectWise, ScreenConnect 23.9.7 ve önceki sürümleri çalıştıran tüm sunucuları etkileyen iki güvenlik açığına henüz CVE kimlikleri atamadı.
Screenconnect.com bulut veya hostrmm.com’da barındırılan ScreenConnect bulut sunucuları potansiyel saldırılara karşı zaten güvence altına alınmış olsa da, şirket içi yazılım kullanan yöneticilerin sunucularını derhal ScreenConnect sürüm 23.9.8’e güncellemeleri önerilir.
Huntress güvenlik araştırmacıları bugün erken saatlerde, yama yapılmamış ScreenConnect sunucularında kimlik doğrulamayı atlamak için kullanılabilecek bir kavram kanıtı (PoC) istismarı oluşturduklarını bildirdi.
Huntress, Censys risk yönetimi platformunda yapılan bir aramanın, saldırılara karşı savunmasız 8.800’den fazla sunucu bulmalarına olanak sağladığını ekledi.
Shodan ayrıca 7.600’den fazla ScreenConnect sunucusunu izliyor ve yalnızca 160 tanesi şu anda yamalı ScreenConnect 23.9.8 sürümünü çalıştırıyor.
Geçen ay CISA, NSA ve MS-ISAC, saldırganların ConnectWise ScreenConnect gibi yasal uzaktan izleme ve yönetim (RMM) yazılımlarını kötü amaçlarla giderek daha fazla kullandıklarına dair ortak bir uyarı niteliğinde uyarı yayınladı.
Tehdit aktörleri, hedef ağlarına giriş noktası olarak uzak masaüstü yazılımını kullanarak, yönetici izinlerine veya yeni eksiksiz yazılım kurulumlarına gerek duymadan sistemlerine yerel kullanıcılar olarak erişebilirler.
Bu, güvenlik kontrollerini atlamalarına ve ele geçirilen kullanıcının izinlerinden yararlanarak ağdaki diğer cihazlara erişmelerine olanak tanır.
Saldırganlar, ScreenConnect’i yıllardır kötü amaçlarla kullanıyor; buna veri çalmak ve kurbanların ihlal edilen sistemlerine fidye yazılımı yükleri dağıtmak da dahil.
Huntress yakın zamanda, saldırıya uğramış ağlara kalıcı erişim sağlamak için yerel ScreenConnect örneklerini kullanan tehdit aktörlerini de tespit etti.