ConnectWise, kritik bir güvenlik tavsiyesinde, ScreenConnect uzaktan erişim yazılımının kullanıcılarını, 23.9.7 ve önceki sürümlerde keşfedilen iki ciddi güvenlik açığı nedeniyle sistemlerine derhal yama yapmaları konusunda uyardı.
CWE-288 ve CWE-22 olarak tanımlanan bu güvenlik açıkları, kimlik doğrulamanın atlanmasına ve yol geçişine izin vererek, etkilenen sistemlerin bütünlüğü ve güvenliği açısından önemli bir risk oluşturur.
300.000’den fazla analist ANY.RUN’u kullanıyor, dünya çapında bir kötü amaçlı yazılım analiz sanal alanıdır. En önemli tehditlere ilişkin derinlemesine araştırmalar yürütmek ve davranışlarına ilişkin ayrıntılı raporlar toplamak için topluluğa katılın.
Ücretsiz Demo Talep Edin
ScreenConnect Güvenlik Kusuru
İlk güvenlik açığı olan CWE-288, saldırganların alternatif bir yol veya kanal kullanarak kimlik doğrulama mekanizmalarını atlamasına olanak tanıyor ve en yüksek önem puanı olan 10’u alıyor.
Bu kusur, sisteme yetkisiz erişime izin vererek potansiyel olarak daha fazla istismara yol açabilir.
İkinci güvenlik açığı olan CWE-22, yol adının 8,4 temel puanla ‘yol geçişi’ olarak bilinen kısıtlı bir dizine uygunsuz şekilde sınırlandırılmasını içerir.
Bu sorun, saldırganların belirtilen konumun dışındaki dosyalara veya dizinlere erişmesine olanak tanıyarak sistemin güvenliğini tehlikeye atabilir.
ScreenConnect, küresel olarak kuruluşlar tarafından uzaktan erişim için yaygın olarak kullanılıyor; bu durum, saldırganların savunmasız örneklerden yararlanma ve fidye yazılımlarını veya diğer kötü amaçlı yükleri alt istemcilere gönderme potansiyeli nedeniyle bu güvenlik açıklarını özellikle endişe verici hale getiriyor.
Bu risk, istemci ortamlarını uzaktan yönetmek için ScreenConnect’i kullanan yönetilen hizmet sağlayıcılar (MSP’ler) veya yönetilen güvenlik hizmetleri sağlayıcıları (MSSP’ler) için özellikle ciddidir.
Shodan, bağlı 7.900’den fazla sunucunun ScreenConnect’in savunmasız sürümlerini çalıştırdığını bildirdi.
Azaltma ve Müdahale
ConnectWise, bu kritik güvenlik açıklarını gideren ScreenConnect’in 23.9.8 sürümünü yayınlayarak bu güvenlik açıklarını gidermek için derhal harekete geçti.
Bulut örnekleri otomatik olarak en son güvenli sürüme güncellendiğinden, ScreenConnect’in bulut kullanıcılarının herhangi bir işlem yapmasına gerek yoktur.
Ancak şirket içi kullanıcıların, bu güvenlik açıklarının oluşturduğu riskleri azaltmak için sunucularını derhal 23.9.8 sürümüne güncellemeleri önemle tavsiye edilir.
Huntress ve Rapid7’deki güvenlik araştırmacıları, bu yamaları uygulamanın aciliyetini yinelediler; Huntress, güvenlik açıklarına yönelik bir kavram kanıtını başarıyla oluşturup doğruladı.
8.800’den fazla sunucunun güvenlik açığı bulunan bir sürümü çalıştırdığı bildirildi ve bu da yaygın potansiyel etkiyi vurguladı.
Uzlaşma göstergeleri
IOC’ler:
- 155.133.5.15
- 155.133.5.14
- 118.69.65.60
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.