Kritik ConnectWise RMM Hatası İstismar Çığlarına Hazır

ConnectWise ScreenConnect uzak masaüstü yönetim aracının kullanıcıları, platformda maksimum kritik güvenlik açığına yönelik bir kavram kanıtlama (PoC) istismarının ortaya çıkmasının ardından aktif siber saldırı altındadır. Araştırmacılar, durumun kitlesel bir uzlaşma olayına dönüşme potansiyeline sahip olduğu konusunda uyarıyor.

ScreenConnect, teknik destek ve diğerleri tarafından bir makinede kullanıcıymış gibi kimlik doğrulaması yapmak için kullanılabilir. Bu nedenle, yüksek değerli uç noktalara ve kurumsal ağların erişebilecekleri diğer alanlarına sızmak isteyen tehdit aktörlerine bir kanal sunuyor.

Kritik ScreenConnect Kimlik Doğrulamasını Atlama

Pazartesi günü yapılan bir danışma toplantısında, ConnectWise bir kimlik doğrulama bypassını açıkladı CVSS güvenlik açığı şiddet ölçeğinde 10 üzerinden 10 puan taşıyan; Hedeflenen masaüstü bilgisayarlara ön kapıyı açmanın yanı sıra, saldırganların, yine Pazartesi günü açıklanan, yetkisiz dosya erişimine izin veren bir yol geçiş sorunu (CVSS 8.4) olan ikinci bir hataya erişmesine olanak tanıyor.

Horizon3.ai istismar geliştiricisi James Horseman bugün bir blogda şunları söyledi: "Bu güvenlik açığı, bir saldırganın ScreenConnect sunucusunda kendi yönetici kullanıcısını oluşturmasına olanak tanıyarak onlara sunucu üzerinde tam kontrol sağlıyor." kimlik doğrulama bypass'ına ilişkin teknik ayrıntılar sağlar ve uzlaşma göstergeleri (IoC). "Bu güvenlik açığı, saldırganların uygulamaları yeniden başlatmasına veya kurulumdan sonra ilk kullanıcıları oluşturmasına olanak tanıyan diğer yeni güvenlik açıklarının bir temasını takip ediyor."

Salı günü ConnectWise, henüz CVE'leri olmayan sorunların aktif olarak kullanıldığını doğrulamak için tavsiyesini güncelledi: "Olay müdahale ekibimizin araştırıp onaylayabildiği, güvenliği ihlal edilmiş hesaplarla ilgili güncellemeler aldık." Ayrıca kapsamlı bir IoC listesi de eklendi.

Bu arada Shadowserver Vakfı CEO'su Piotr Kijewski, kâr amacı gütmeyen kuruluşun bal küpü sensörlerinde ilk kullanım taleplerini gördüğünü doğruladı.

"Ehliyet belirtileri olup olmadığını kontrol edin (yeni kullanıcıların eklenmesi gibi) ve yama yapın!" Shadowserver e-posta listesi aracılığıyla vurguladı ve Salı günü itibarıyla ScreenConnect örneklerinin tam olarak %93'ünün (yaklaşık 3,800 kurulum) hala savunmasız olduğunu ve bunların çoğunun ABD'de bulunduğunu ekledi.

Güvenlik açıkları, ScreenConnect'in 23.9.7 ve önceki sürümlerini ve özellikle şirket içinde barındırılan veya şirket içi kurulumları etkilemektedir; ScreenConnect sunucularını “screenconnect.com” veya “hostedrmm.com” etki alanlarında barındıran bulut müşterileri etkilenmez.

ConnectWise'ın Snowball'a İstismarını Bekleyin

Şu anda istismar girişimleri düşük hacimli olsa da, Action1'in başkanı ve kurucu ortağı Mike Walters, e-postayla gönderilen yorumunda işletmelerin ConnectWise hatalarından "önemli güvenlik sonuçları" beklemesi gerektiğini söyledi.

Güvenlik açıklarının vahşi ortamda istismar edildiğini de doğrulayan Walters, potansiyel olarak "binlerce güvenliği ihlal edilmiş örnek" beklendiğini söyledi. Ancak bu sorunların, saldırganların yönetilen güvenlik hizmeti sağlayıcılarına (MSSP'ler) sızıp daha sonra ticari müşterilerine yöneldiği geniş kapsamlı bir tedarik zinciri saldırısına dönüşme potansiyeli de var.

Şöyle açıkladı: "Bu güvenlik açıklarından yararlanan büyük saldırı, şuna benzer olabilir: 2021'de Kaseya güvenlik açığından yararlanmaScreenConnect, MSP'ler ve MSSP'ler arasında çok popüler bir [uzaktan yönetim ve izleme aracı] RMM olduğundan ve karşılaştırılabilir hasara yol açabileceğinden."

Şimdiye kadar hem Huntress araştırmacıları hem de Horizon3 saldırı ekibindeki araştırmacılar hatalara yönelik PoC'leri halka açık olarak yayınladılar ve diğerlerinin de bunu takip edeceğinden eminiz.

ConnectWise SmartScreen yöneticileri kendilerini korumak için sistemlerine yama uygulamak üzere hemen 23.9.8 sürümüne yükseltmeli, ardından istismar işaretlerini aramak için sağlanan IoC'leri kullanmalıdır.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/remote-workforce/critical-connectwise-rmm-bug-poised-exploitation-avalanche