Para nowo ujawnionych luk w powszechnie używanej aplikacji dostępu do zdalnego pulpitu, uwielbianej przez dostawców usług zarządzanych (MSP), jest porównywana z cyberatak na Kaseyę w lipcu 2021 ra eksperci ds. bezpieczeństwa opisali wykorzystanie jako trywialne.
Przedmiotowy produkt, ConnectWise ScreenConnect, jest powszechnie używany zarówno przez pracowników zdalnych, jak i zespoły wsparcia IT. Pierwsza luka umożliwia ugrupowaniu zagrażającemu obejście uwierzytelniania przy użyciu alternatywnej ścieżki lub kanału i jest śledzona jako CVE-2024-1709. Ma krytyczny wynik CVSS wynoszący 10 i został już dodany do katalogu znanych luk w zabezpieczeniach CISA (KEV). Drugim problemem jest problem z przejściem ścieżki, oznaczony jako CVE-2024-1708, który uzyskał wynik CVSS na poziomie 8,4.
ConnectWise udostępniło poprawki tego problemu i twierdzi, iż partnerzy chmurowi podjęli już działania naprawcze w zakresie obu rozwiązań, podczas gdy partnerzy lokalni powinni natychmiast dokonać aktualizacji do wersji 23.9.10.8817. Więcej informacji, w tym wskaźniki kompromisu (IoC), można znaleźć tutaj.
ConnectWise potwierdził, iż wie o podejrzanych działaniach związanych z tymi dwiema lukami i bada je, a 21 lutego potwierdził zaobserwowane aktywne wykorzystanie po tym, jak kod exploita weryfikującego koncepcję trafił do GitHub.
„Każdy użytkownik ConnectWise ScreenConnect 23.9.8 powinien natychmiast podjąć kroki w celu załatania tych systemów. jeżeli nie mogą natychmiast zastosować poprawki, powinni podjąć kroki w celu usunięcia ich z Internetu do czasu, aż będzie można dokonać aktualizacji. Użytkownicy powinni również sprawdzić, czy nie występują oznaki możliwego naruszenia bezpieczeństwa, biorąc pod uwagę szybkość, z jaką ataki nastąpiły po tych łatkach” – powiedział dyrektor Sophos X-Ops Christopher Budd.
„Powiązanie możliwej do wykorzystania luki w zabezpieczeniach z zewnętrznymi usługami zdalnymi jest istotnym czynnikiem w atakach w świecie rzeczywistym, co wykazano w badaniu Raport aktywnego przeciwnika dla liderów technologicznych w oparciu o przypadki reakcji na incydenty. Zewnętrzne usługi zdalne są techniką pierwszego dostępu numer jeden; chociaż wykorzystanie luki w zabezpieczeniach było drugą najczęstszą przyczyną pierwotną (23%), było to najczęstszą przyczyną pierwotną w przeszłości.
„Te rzeczywiste dane pokazują, jak potężna jest ta kombinacja dla atakujących i dlaczego w środowisku o znacznie podwyższonym zagrożeniu podatni na zagrożenia klienci ConnectWise muszą podjąć natychmiastowe działania, aby się chronić” – dodał.
W następstwie wstępnego zawiadomienia o ujawnieniu informacji przesłanego przez ConnectWise badacze z Huntress Security przez noc pracował nad usunięciem luki, zrozumieniem jej działania i odtworzeniem exploita.
Hanslovan powiedział, iż początkowe ujawnienie nie zawierało zbyt wielu szczegółów technicznych i nie bez powodu, ale po opublikowaniu kodu exploita PoC sytuacja została już całkowicie wyjaśniona. Opisał wyzysk jako „żenująco łatwy”.
„Nie mogę tego smarować, to gówno jest złe” – powiedział Kyle’a Hanslovana, dyrektor generalny Huntress. „Mówimy o ponad dziesięciu tysiącach serwerów kontrolujących setki tysięcy punktów końcowych…. Samo rozpowszechnienie tego systemu i dostęp zapewniany przez tę lukę sygnalizują, iż jesteśmy o krok od bezpłatnego systemu ransomware. Udowodniono, iż szpitale, infrastruktura krytyczna i instytucje państwowe są zagrożone”.
Porównania z Kaseyą
Rok 2021 Kaseya zaatakowana przez ekipę ransomware REvil był jednym z pierwszych głośnych incydentów w łańcuchu dostaw, który podniósł powszechną świadomość na temat problemów bezpieczeństwa związanych z usługami zarządzanymi.
Atak, który miał miejsce w USA w weekend świąteczny 4 lipca, kiedy zespoły ds. bezpieczeństwa miały przerwę w działaniu, doprowadził do naruszenia bezpieczeństwa ponad tysiąca organizacji za pośrednictwem usługi zarządzania punktami końcowymi i siecią firmy Kaseya.
Incydent związany z transferem plików zarządzanym przez MOVEit w 2023 r. miał podobny wpływ, umożliwiając gangowi systemu ransomware Clop/Cl0p rozprzestrzenienie się na wiele organizacji którzy mieli umowę z klientami MOVEit.
Hanslovan stwierdził, iż porównania obu incydentów były trafne, biorąc pod uwagę ogromną liczbę dostawców usług MSP korzystających z ConnectWise.
„Nadchodzi rozliczenie z oprogramowaniem o podwójnym przeznaczeniu; Podobnie jak Huntress odkryta latem w MOVEit, tę samą płynną funkcjonalność, jaką zapewnia zespołom IT, zapewnia także hakerom” – powiedział.
„Dzięki oprogramowaniu do zdalnego dostępu przestępcy mogą rozpowszechniać oprogramowanie ransomware równie łatwo, jak dobrzy mogą rozpowszechniać łatki. A kiedy zaczną wykorzystywać swoje programy szyfrujące dane, mogę się założyć, iż 90% programów zabezpieczających nie wyłapie tego, ponieważ pochodzi z zaufanego źródła”.
