ConnectWise’ın bu hafta başında uzak masaüstü ve erişim yazılımı ScreenConnect için açıkladığı iki güvenlik açığına ilişkin hem teknik ayrıntılar hem de kavram kanıtı istismarları mevcut.
Satıcının güvenlik sorunlarını yayınlamasından bir gün sonra saldırganlar saldırılarda bu sorunlardan yararlanmaya başladı.
CISA, iki güvenlik sorununa CVE-2024-1708 ve CVE-2024-1709 tanımlayıcılarını atadı; satıcı, ScreenConnect sunucularını 23.9.7 ve önceki sürümlerini etkileyen maksimum önem derecesine sahip bir kimlik doğrulama atlaması ve yüksek önem derecesine sahip bir yol geçişi kusuru olarak değerlendirdi.
ConnectWise, riski azaltmak için yöneticileri şirket içi sunucuları derhal 23.9.8 sürümüne güncellemeye çağırdı ve screenconnect.com bulutunda veya hostrmm.com’da örnekleri bulunanların güvenliğinin sağlandığını açıkladı.
Tehdit aktörleri, olay müdahale araştırmalarına dayalı olarak şirket tarafından yapılan tavsiye niteliğindeki güncellemede doğrulandığı gibi, birden fazla ScreenConnect hesabının güvenliğini ihlal etti.
Siber güvenlik şirketi Huntress, güvenlik açıklarını analiz etti ve bir açıktan yararlanma geliştirmenin önemsiz bir görev olduğu konusunda uyardı.
Şirket ayrıca Pazartesi günü Censys platformunun 8.800’den fazla savunmasız ScreenConnect sunucusunun açığa çıktığını gösterdiğini belirtti. ShadowServer Vakfı tarafından yapılan bir değerlendirmede dün bu sayının şu şekilde olduğu belirtildi: 3.800 civarında.
ConnectWise’ın iki güvenlik açığını duyurmasının ardından ilk çalışan güvenlik açıkları hızla ortaya çıktı ve daha fazlası yayınlanmaya devam ediyor. Bu durum Huntress’i ayrıntılı analizini paylaşmaya ve şirketlerin iyileştirme adımlarıyla daha hızlı ilerleyeceği umuduyla bir açıktan yararlanmanın ne kadar kolay olduğunu göstermeye yöneltti.
Tespit edilmesi ve istismar edilmesi kolay
Huntress, satıcının yamayla birlikte sunduğu kod değişikliklerine bakarak iki kusuru buldu.
İlk kusur için, bir metin dosyasında, kimlik doğrulama işleminin kurulum sihirbazı (‘SetupWizard.aspx’) dahil tüm erişim yollarına karşı güvence altına alınmadığını belirten yeni bir kontrol buldular.
Bu durum, güvenlik açığı bulunan sürümlerde, özel olarak hazırlanmış bir isteğin, ScreenConnect zaten kurulmuş olsa bile kullanıcıların kurulum sihirbazını kullanmasına izin verebileceği ihtimaline işaret ediyordu.
Kurulum sihirbazı buna izin verdiğinden, kullanıcı yeni bir yönetici hesabı oluşturabilir ve bunu ScreenConnect örneğinin kontrolünü ele geçirmek için kullanabilir.
.png)
Yol geçiş hatasından yararlanmak, amaçlanan kısıtlı dizin dışındaki dosyalara erişmeye veya bunları değiştirmeye izin veren, özel olarak hazırlanmış başka bir isteğin yardımıyla mümkündür.
Kusur, ‘ScreenConnect.Core.dll’ dosyasındaki ZipSlip’e işaret eden kod değişiklikleri fark edilerek tespit edildi; bu güvenlik açığı, uygulamalar dosya çıkarma yolunu düzgün şekilde temizlemediğinde ortaya çıkan ve hassas dosyaların üzerine yazılmasına neden olabilecek bir güvenlik açığıdır.
ConnectWise’dan gelen güncellemeler, özellikle ScreenConnect klasörü içindeki belirlenen alt dizinlerin dışına dosya yazılmasını önlemek için, ZIP dosyası içeriklerini ayıklarken daha katı yol doğrulaması sağlar.
Önceki istismardan kaynaklanan yönetici erişimiyle, dosya sisteminde amaçlanan sınırların ötesinde gezinmek için dizin geçiş dizileri içeren istekler hazırlayarak User.xml dosyasına ve diğer hassas dosyalara erişmek veya bunları değiştirmek mümkündür.
Sonunda saldırgan, ScreenConnect alt dizininin dışına kötü amaçlı bir komut dosyası veya yürütülebilir dosya gibi bir veri yükleyebilir.
Huntress, güvenlik ihlali göstergelerini (IoC’ler) ve yukarıdaki kusurlardan yararlanıldığında oluşturulan yapılara dayalı analitik tespit kılavuzunu paylaştı.
Güvenlik güncellemelerini uygulamayan yöneticilerin, yetkisiz erişimi kontrol etmek için algılamaları kullanması önemle tavsiye edilir.