ConnectWise ScreenConnect yazılımındaki yakın zamanda yamalı güvenlik açıklarından (CVE-2024-1709, CVE-2024-1708) çok sayıda saldırgan tarafından çeşitli kötü amaçlı veriler sunmak için yararlanılıyor.
ConnectWise ScreenConnect Hakkında
ConnectWise ScreenConnect, sunucu ve istemci öğelerinden (uygulamalardan) oluşan bir uzak masaüstü çözümüdür.
Sunucu öğesi ConnectWise tarafından bir hizmet olarak sunulur veya müşteriler tarafından şirket içi veya buluttaki kendi sunucularına kurulabilir. İstemci yazılımı, iş istasyonlarına ve diğer uç noktalara, ihtiyaç duyulan yerde ve zamanda, bu uç noktalara uzaktan erişimi mümkün kılmak için yüklenir.
Bu, onu teknik yardım sunmak veya veri merkezlerini uzaktan yönetmek için popüler bir çözüm haline getiriyor. Ancak bu aynı zamanda onu çok sayıda kurumsal uç noktaya kolayca erişmek ve bu noktaları tehlikeye atmak için kullanan saldırganlar için de popüler bir çözüm haline getiriyor.
Güvenlik açıkları ve yamalar
Güvenlik açıkları ConnectWise ScreenConnect sürüm 23.9.7 ve önceki sunucu bileşenini etkiliyor.
CVE-2024-1709, saldırganların savunmasız örneklerde sistem yöneticisi hesapları oluşturmasına ve bunları kendi kötü amaçları için kullanmasına olanak tanıyan bir kimlik doğrulama atlama güvenlik açığıdır.
CVE-2024-1708, saldırganların güvenlik açığı bulunan örneklerde uzaktan kod yürütmesine olanak tanıyan bir yol geçiş güvenlik açığıdır.
13 Şubat’ta özel olarak rapor edildikten sonra ConnectWise, bulut ortamlarına ve tüm bulut örneklerine iki gün içinde yama uyguladı ve 19 Şubat’ta ScreenConnect müşterilerini şirket içi örneklerini derhal düzeltmeleri içeren bir sürüme yükseltmeye çağırdı (v23.9.8) ).
O tarihten bu yana şirket, kullanımda olan kullanımları doğruladı ve sunucu yazılımının yeni sürümlerini (v23.9.10.8817 ve v22.4) lisans kısıtlaması olmaksızın piyasaya sürdü; böylece tüm kullanıcılar, artık bakım altında olmayanlar bile, – CVE-2024-1709 veya her iki kusur için yama alabilir.
CVE-2024-1709’dan yararlanıldı: Saldırılar, kötü amaçlı yazılım
CVE-2024-1709’a yönelik PoC açıklarının kamuya açıklanmasının ardından, çeşitli saldırganlar, kurumsal ağlara girmenin bir yolu olarak bunları kullanmayı umarak halka açık ScreenConnect sunucularını hedef almaya başladı.
“Mandiant, bu güvenlik açıklarının çeşitli tehdit aktörleri tarafından kitlesel olarak istismar edildiğini tespit etti. Birçoğu fidye yazılımı dağıtacak ve çok yönlü gasp gerçekleştirecek,” diye paylaştı Google yan kuruluşu.
Sophos’un X-Ops görev gücü, saldırganların iki farklı fidye yazılımı çeşidi (her ikisi de daha önce sızdırılan LockBit oluşturucusu tarafından oluşturulmuş) yanı sıra bilgi hırsızları, RAT’lar, solucanlar, Cobalt Strike yükleri ve ek uzaktan erişim istemcileri (SimpleHelp, Google) sunduğunu tespit ettiklerini söylüyor. Chrome Uzaktan Masaüstü).
Huntress araştırmacıları da bu saldırılardan bazılarını tespit etti ancak saldırılar aynı zamanda kripto para madencilerini, SSH arka kapılarını ve kalıcı ters kabukları kurmayı da içeriyordu.
Soruşturma ve düzeltme
Şirket içinde barındırılan ScreenConnect örneğinizi zamanında yükseltmeyi başaramadıysanız, artık güvenlik ihlaline dair kanıt arama, saldırganların kurumsal ağınıza ne kadar derine girmeyi başardıklarını bir araya getirme ve temizleme gibi zaman alıcı bir süreçle karşı karşıya kalırsınız. Etkilenen tüm sistemlerin önyüklemesini yapın.
Sophos X-Ops, “ScreenConnect’i kullanan herkesin, savunmasız sunucuları ve istemcileri derhal izole etmek, bunlara yama uygulamak ve herhangi bir tehlike belirtisi olup olmadığını kontrol etmek için gerekli adımları atması gerektiğini” vurguladı.
“Sophos’un hem sunuculara hem de istemci makinelere yönelik saldırıların şu anda devam ettiğine dair kanıtları var. Sunucuya yama uygulanması, saldırganların yama öncesinde dağıtmayı başardığı kötü amaçlı yazılımları veya web kabuklarını ortadan kaldırmaz ve güvenliği ihlal edilmiş ortamların araştırılması gerekir.”
Mandiant, soruşturma adımlarını paylaştı ve savunuculara yardımcı olmak için eyleme geçirilebilir iyileştirme tavsiyeleri ve sertleştirme önerileri sundu.