کریٹیکل کنیکٹ وائز RMM بگ استحصالی برفانی تودے کے لیے تیار ہے۔

کریٹیکل کنیکٹ وائز RMM بگ استحصالی برفانی تودے کے لیے تیار ہے۔

ٹائم سٹیمپ: فروری 21، 2024 3:59 PM
Critical ConnectWise RMM Bug Poised for Exploitation Avalanche PlatoBlockchain Data Intelligence. Vertical Search. Ai.

ConnectWise ScreenConnect ریموٹ ڈیسک ٹاپ مینجمنٹ ٹول کے صارفین پلیٹ فارم میں زیادہ سے زیادہ اہم حفاظتی خطرے کے لیے پروف آف کانسیپٹ (PoC) کے استحصال کے سامنے آنے کے بعد، فعال سائبر اٹیک کی زد میں ہیں۔ محققین انتباہ کر رہے ہیں کہ صورتحال میں بڑے پیمانے پر سمجھوتہ کرنے والے واقعے میں پھٹنے کی صلاحیت ہے۔

ScreenConnect کو ٹیک سپورٹ اور دیگر کے ذریعے کسی مشین کی تصدیق کرنے کے لیے استعمال کیا جا سکتا ہے گویا وہ صارف ہیں۔ اس طرح، یہ دھمکی آمیز اداکاروں کے لیے ایک راستہ پیش کرتا ہے جو اعلیٰ قدر کے اختتامی مقامات اور کارپوریٹ نیٹ ورکس کے کسی دوسرے شعبے میں دراندازی کرنے کے خواہاں ہیں جہاں تک ان کی رسائی ہو سکتی ہے۔

کریٹیکل اسکرین کنیکٹ توثیق بائی پاس

پیر کو ایک ایڈوائزری میں، ConnectWise نے ایک تصدیقی بائی پاس کا انکشاف کیا۔ CVSS خطرے کی شدت کے پیمانے پر 10 میں سے 10 کا اسکور لے کر؛ ٹارگٹڈ ڈیسک ٹاپس کے سامنے کا دروازہ کھولنے کے علاوہ، یہ حملہ آوروں کو دوسرے بگ تک پہنچنے کی اجازت دیتا ہے، جس کا انکشاف پیر کو کیا گیا، جو کہ ایک پاتھ ٹراورسل ایشو (CVSS 8.4) ہے جو غیر مجاز فائل تک رسائی کی اجازت دیتا ہے۔

"یہ کمزوری ایک حملہ آور کو اسکرین کنیکٹ سرور پر اپنا انتظامی صارف بنانے کی اجازت دیتی ہے، جس سے وہ سرور پر مکمل کنٹرول رکھتا ہے،" Horizon3.ai ایکسپلوٹ ڈویلپر، جیمز ہارسمین نے آج ایک بلاگ میں کہا کہ auth بائی پاس پر تکنیکی تفصیلات فراہم کرتا ہے۔ اور سمجھوتہ کے اشارے (IoC)۔ "یہ خطرہ دیگر حالیہ خطرات کے تھیم کی پیروی کرتا ہے جو حملہ آوروں کو ایپلی کیشنز کو دوبارہ شروع کرنے یا سیٹ اپ کے بعد ابتدائی صارفین بنانے کی اجازت دیتا ہے۔"

منگل کو، ConnectWise نے ان مسائل کے فعال استحصال کی تصدیق کے لیے اپنی ایڈوائزری کو اپ ڈیٹ کیا، جن کے پاس ابھی تک CVE نہیں ہیں: "ہمیں سمجھوتہ کیے گئے اکاؤنٹس کی اپ ڈیٹس موصول ہوئی ہیں جن کی تحقیقات اور تصدیق کرنے میں ہماری ریسپانس ٹیم کامیاب رہی ہے۔" اس نے IoCs کی ایک وسیع فہرست بھی شامل کی۔

دریں اثنا، شیڈوسرور فاؤنڈیشن کے سی ای او Piotr Kijewski نے غیر منفعتی کے ہنی پاٹ سینسرز میں استحصال کی ابتدائی درخواستوں کو دیکھنے کی تصدیق کی۔

"سمجھوتہ کی علامات کی جانچ کریں (جیسے نئے صارفین شامل کیے گئے ہیں) اور پیچ کریں!" انہوں نے شیڈوسرور میلنگ لسٹ کے ذریعے زور دیتے ہوئے مزید کہا کہ منگل تک، اسکرین کنیکٹ کے مکمل 93% واقعات اب بھی کمزور ہیں (تقریباً 3,800 تنصیبات)، ان میں سے زیادہ تر امریکہ میں واقع ہیں۔

کمزوریاں ScreenConnect ورژن 23.9.7 اور اس سے پہلے کے ورژن کو متاثر کرتی ہیں، اور خاص طور پر خود میزبان یا آن پریمیسس تنصیبات کو متاثر کرتی ہیں۔ "screenconnect.com" یا "hostedrmm.com" ڈومینز پر ScreenConnect سرورز کی میزبانی کرنے والے کلاؤڈ صارفین متاثر نہیں ہوتے ہیں۔

سنو بال سے کنیکٹ وائز استحصال کی توقع کریں۔

اگرچہ اس وقت استحصال کی کوششیں کم مقدار میں ہیں، ایکشن 1 کے صدر اور شریک بانی مائیک والٹرز نے ای میل کی کمنٹری میں کہا کہ کاروباری اداروں کو کنیکٹ وائز کیڑے سے "اہم حفاظتی مضمرات" کی توقع کرنی چاہیے۔

والٹرز، جنہوں نے کمزوریوں کے جنگلی استحصال کی بھی تصدیق کی، کہا کہ متوقع طور پر، "ہزاروں سمجھوتہ شدہ واقعات"۔ لیکن مسائل میں وسیع پیمانے پر سپلائی چین حملے میں پھٹنے کی صلاحیت بھی ہے جس میں حملہ آور منظم سیکیورٹی سروس پرووائیڈرز (MSSPs) میں گھس جاتے ہیں، پھر اپنے کاروباری صارفین کی طرف محور ہوتے ہیں۔

انہوں نے وضاحت کی، "ان کمزوریوں کا فائدہ اٹھانے والے بڑے حملے کی طرح ہو سکتا ہے۔ 2021 میں کیسیا کمزوری کا استحصالجیسا کہ ScreenConnect MSPs اور MSSPs کے درمیان ایک بہت مقبول [ریموٹ مینجمنٹ اور مانیٹرنگ ٹول] RMM ہے، اور اس کے نتیجے میں موازنہ نقصان ہو سکتا ہے۔"

ابھی تک، Horizon3 حملہ کرنے والی ٹیم کے دونوں ہنٹریس محققین اور محققین نے کیڑے کے لیے PoCs کو عوامی طور پر جاری کیا ہے، اور دوسرے اس کی پیروی کرنے کا یقین رکھتے ہیں۔

اپنی حفاظت کے لیے، ConnectWise SmartScreen کے منتظمین کو اپنے سسٹمز کو پیچ کرنے کے لیے فوری طور پر ورژن 23.9.8 میں اپ گریڈ کرنا چاہیے، پھر استحصال کی علامات کو تلاش کرنے کے لیے فراہم کردہ IoCs کا استعمال کریں۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا