Τόσο οι τεχνικές λεπτομέρειες όσο και τα proof-of-concept exploits είναι διαθέσιμα για τα δύο τρωτά σημεία που το ConnectWise αποκάλυψε νωρίτερα αυτή την εβδομάδα για το ScreenConnect, την απομακρυσμένη επιφάνεια εργασίας και το λογισμικό πρόσβασης.
Μια μέρα αφό
του
ο πωλητής δημοσίευσε τα ζητήματα ασφαλείας, οι εισβολείς άρχισαν να τα χρησιμοποιούν σε επιθέσεις.
Η CISA έχει εκχωρήσει αναγνωριστικά CVE-2024-1708 και CVE-2024-1709 στα δύο ζητήματα ασφαλείας, τα οποία ο προμηθευτής αξιολόγησε ως παράκαμψη ελέγχου ταυτότητας μέγιστης σοβαρότητας και ελάττωμα διέλευσης διαδρομής υψηλής σοβαρότητας που επηρεάζει τους διακομιστές ScreenConnect 23.9.7 και παλαιότερες εκδόσεις.
Η ConnectWise προέτρεψε τους διαχειριστές να ενημερώσουν τους διακομιστές εσωτερικής εγκατάστασης στην έκδοση 23.9.8
αμέσως
για να μετριάσουν τον κίνδυνο και διευκρίνισε ότι αυτοί με παρουσίες στο cloud screenconnect.com ή στο hostedrmm.com έχουν ασφαλιστεί.
Οι φορείς απειλών έχουν θέσει σε κίνδυνο πολλούς λογαριασμούς ScreenConnect, όπως επιβεβαιώθηκε από την εταιρεία σε μια
ενημέρωση
της συμβουλευτικής της, με βάση τις έρευνες αντιμετώπισης περιστατικών.
Η εταιρεία κυβερνοασφάλειας Huntress έχει αναλύσει τα τρωτά σημεία και προειδοποιεί ότι η ανάπτυξη ενός exploit είναι ένα ασήμαντο έργο.
Η εταιρεία δήλωσε επίσης ότι τη Δευτέρα η πλατφόρμα Censys παρουσίαζε εκτεθειμένους περισσότερους από 8.800 ευάλωτους διακομιστές ScreenConnect. Μια αξιολόγηση από το The ShadowServer
Foundation
σημείωσε ότι χθες ο αριθμός ήταν
περίπου 3.800
.
Τα πρώτα λειτουργικά exploit εμφανίστηκαν γρήγορα αφού η ConnectWise ανακοίνωσε τα δύο τρωτά σημεία και άλλα συνεχίζουν να δημοσιεύονται. Αυτό ώθησε την Huntress να
μοιραστείτε τη λεπτομερή ανάλυσή του
και να δείξουν πόσο εύκολο είναι να δημιουργηθεί ένα exploit, με την ελπίδα ότι οι εταιρείες θα προχωρήσουν πιο γρήγορα με βήματα αποκατάστασης.
Εύκολος εντοπισμός και εκμετάλλευση
Η Huntress εντόπισε τα δύο ελαττώματα κοιτάζοντας τις αλλαγές κώδικα που εισήγαγε ο προμηθευτής με το patch.
Για το πρώτο ελάττωμα, βρήκαν έναν νέο έλεγχο σε ένα αρχείο κειμένου που υποδεικνύει ότι η διαδικασία ελέγχου ταυτότητας δεν ήταν ασφαλισμένη σε όλες τις διαδρομές πρόσβασης, συμπεριλαμβανομένου του οδηγού εγκατάστασης (‘SetupWizard.aspx’).
Αυτό έδειξε την πιθανότητα ότι στις ευάλωτες εκδόσεις ένα ειδικά διαμορφωμένο αίτημα θα μπορούσε να επιτρέψει στους χρήστες να χρησιμοποιήσουν τον οδηγό εγκατάστασης ακόμα και όταν το ScreenConnect είχε ήδη ρυθμιστεί.
Επειδή ο οδηγός εγκατάστασης το επέτρεψε, ένας χρήστης θα μπορούσε να δημιουργήσει έναν νέο λογαριασμό διαχειριστή και να τον χρησιμοποιήσει για να αναλάβει τον έλεγχο της παρουσίας του ScreenConnect.
.png)
Αυθαίρετη πρόσβαση στον οδηγό εγκατάστασης
(Κυνηγός)
Η αξιοποίηση του σφάλματος διέλευσης διαδρομής είναι δυνατή με τη βοήθεια ενός άλλου ειδικά σχεδιασμένου αιτήματος που επιτρέπει την πρόσβαση ή την τροποποίηση αρχείων εκτός του προβλεπόμενου περιορισμένου καταλόγου.
Το
ελάττωμα εντοπίστηκε παρατηρώντας αλλαγές κώδικα στο αρχείο ‘ScreenConnect.Core.dll’, που δείχνει το ZipSlip, μια ευπάθεια που εμφανίζεται όταν οι εφαρμογές δεν απολυμαίνουν σωστά τη διαδρομή εξαγωγής αρχείων, κάτι που θα μπορούσε να έχει ως αποτέλεσμα την αντικατάσταση ευαίσθητων αρχείων.
Οι ενημερώσεις από το ConnectWise εισάγουν αυστηρότερη επικύρωση διαδρομής κατά την εξαγωγή περιεχομένων αρχείων ZIP, ειδικά για να αποτρέψουν την εγγραφή αρχείων εκτός καθορισμένων υποκαταλόγων εντός του φακέλου του ScreenConnect.
Με πρόσβαση διαχειριστή από το προηγούμενο exploit, είναι δυνατή η πρόσβαση ή ο χειρισμός του αρχείου User.xml και άλλων ευαίσθητων αρχείων με τη δημιουργία αιτημάτων που περιλαμβάνουν ακολουθίες διέλευσης καταλόγου για πλοήγηση στο σύστημα αρχείων πέρα από τα προβλεπόμενα όρια.
Τελικά, ο εισβολέας μπορεί να ανεβάσει ένα ωφέλιμο φορτίο, όπως ένα κακόβουλο σενάριο ή ένα εκτελέσιμο, εκτός του υποκαταλόγου ScreenConnect.
Η Huntress μοιράστηκε δείκτες συμβιβασμού (IoCs) και
αναλυτική καθοδήγηση ανίχνευσης
με βάση τα τεχνουργήματα που δημιουργούνται κατά την εκμετάλλευση των παραπάνω ελαττωμάτων.
Συνιστάται ανεπιφύλακτα στους διαχειριστές που δεν έχουν εφαρμόσει τις ενημερώσεις ασφαλείας να χρησιμοποιούν τις ανιχνεύσεις για να ελέγχουν για μη εξουσιοδοτημένη πρόσβαση.
//platform.twitter.com/widgets.js
VIA:
bleepingcomputer.com
