Yönetilen hizmet sağlayıcıların (MSP’ler) sevdiği, yaygın olarak kullanılan bir uzak masaüstü erişim uygulamasında yeni açıklanan bir çift güvenlik açığı, Kaseya’ya Temmuz 2021’de yapılan siber saldırıyla karşılaştırılıyor ve güvenlik uzmanları bu açıklardan yararlanmayı önemsiz olarak tanımlıyor.
Söz konusu ürün ConnectWise ScreenConnect, hem uzak çalışanlar hem de BT destek ekipleri tarafından yaygın olarak kullanılıyor. İlk güvenlik açığı, bir tehdit aktörünün alternatif bir yol veya kanal kullanarak kimlik doğrulamasını atlamasına olanak tanıyor ve CVE-2024-1709 olarak izleniyor. Kritik CVSS puanı 10’dur ve halihazırda CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklenmiştir. İkincisi ise CVE-2024-1708 olarak takip edilen ve CVSS puanı 8,4 olan bir yol geçiş sorunudur.
ConnectWise soruna yönelik düzeltmeler yayınladı ve bulut iş ortaklarının her iki soruna da çözüm bulduğunu, şirket içi iş ortaklarının ise derhal 23.9.10.8817 sürümüne güncellenmesi gerektiğini söyledi. Tehlike göstergeleri (IoC’ler) dahil olmak üzere daha fazla bilgiye buradan ulaşabilirsiniz.
ConnectWise, iki güvenlik açığıyla ilgili şüpheli faaliyetlerden haberdar olduğunu ve bunlara ilişkin bildirimleri araştırdığını doğruladı ve 21 Şubat’ta, kavram kanıtı yararlanma kodunun GitHub’a çarpmasının ardından gözlemlenen aktif istismarı doğruladı.
“ConnectWise ScreenConnect 23.9.8’e sahip olan herkesin bu sistemlere yama uygulamak için acil adımlar atması gerekiyor. Eğer hemen yama yapamıyorlarsa, yama yapana kadar bunları internetten kaldırmak için gerekli adımları atmalıdırlar. Sophos X-Ops direktörü Christopher Budd, kullanıcıların bu yamaları takip eden saldırıların hızı göz önüne alındığında olası bir tehlike belirtisi olup olmadığını da kontrol etmesi gerektiğini söyledi.
“Kullanılabilir bir güvenlik açığının harici uzak hizmetlerle eşleştirilmesi, olay müdahale vakalarına dayanan Teknoloji Liderleri için Aktif Düşman Raporunda kanıtlandığı gibi, gerçek dünyadaki saldırılarda önemli bir faktördür. Harici uzaktan hizmetler bir numaralı ilk erişim tekniğidir; Bir güvenlik açığından yararlanmak %23 ile ikinci en yaygın temel neden iken, geçmişte en yaygın temel neden olmuştur.
“Bu gerçek dünya verileri, bu kombinasyonun saldırganlar için ne kadar güçlü olduğunu ve neden bu önemli ölçüde artan tehdit ortamında savunmasız ConnectWise müşterilerinin kendilerini korumak için acil eyleme geçmesi gerektiğini gösteriyor” diye ekledi.
ConnectWise’ın ilk ifşa bildiriminin ardından Huntress Security’deki araştırmacılar, güvenlik açığını ortadan kaldırmak, nasıl çalıştığını anlamak ve istismarı yeniden oluşturmak için gece boyunca çalıştı.
Hanslovan, ilk açıklamanın teknik ayrıntılar konusunda çok az olduğunu ve bunun iyi bir nedeni olduğunu, ancak PoC istismar kodunun yayınlanmasının ardından kedinin artık tamamen ve gerçekten çantadan çıktığını söyledi. Sömürüyü “utanç verici derecede kolay” olarak nitelendirdi.
Huntress CEO’su Kyle Hanslovan, “Onu astarlayamam, bu çok kötü” dedi. “Yüzbinlerce uç noktayı kontrol eden on binden fazla sunucudan bahsediyoruz…. Bu yazılımın yaygınlığı ve bu güvenlik açığının sağladığı erişim, herkese açık bir fidye yazılımının eşiğinde olduğumuzu gösteriyor. Hastaneler, kritik altyapılar ve devlet kurumlarının risk altında olduğu kanıtlandı.”
Kaseya ile karşılaştırmalar
REvil fidye yazılımı ekibinin saldırısına uğrayan 2021 Kaseya, yönetilen hizmetleri çevreleyen güvenlik sorunlarına ilişkin yaygın farkındalığı artıran ilk yüksek profilli tedarik zinciri olaylarından biriydi.
Güvenlik ekiplerinin bir süre kesinti yaşadığı 4 Temmuz tatil haftasonunda ABD’de ortaya çıkan saldırıda, Kaseya’nın uç nokta ve ağ yönetimi hizmeti aracılığıyla binden fazla kuruluşun güvenliğinin ihlal edildiği görüldü.
2023 MOVEit tarafından yönetilen dosya aktarımı olayı da benzer bir etki yarattı ve Clop/Cl0p fidye yazılımı çetesinin, MOVEit müşterileriyle sözleşme yapan çok sayıda kuruluşa doğru yayılmasını sağladı.
Hanslovan, ConnectWise’ı kullanan çok sayıda MSP göz önüne alındığında, her iki olayla karşılaştırmanın uygun olduğunu söyledi.
“Çift amaçlı yazılımla ilgili bir hesaplaşma yaklaşıyor; Huntress’in MOVEit ile yaz aylarında ortaya çıkardığı gibi, BT ekiplerine sağladığı kusursuz işlevselliğin aynısını bilgisayar korsanlarına da veriyor” dedi.
“Uzaktan erişim yazılımıyla, iyi adamların bir yama basabildiği kadar kolay bir şekilde kötü adamlar da fidye yazılımlarını iletebilir. Ve veri şifreleyicilerini zorlamaya başladıklarında, önleyici güvenlik yazılımlarının %90’ının bunu yakalayamayacağına bahse girerim çünkü bunlar güvenilir bir kaynaktan geliyor.”