28 lutego 2024
Krytyczne podatności w zabezpieczeniach ConnectWise ScreenConnect
Odkryto dwie krytyczne luki CVE-2024-1708 i CVE-2024-1709 w zabezpieczeniach ConnectWise ScreenConnect. Jest to narzędzie, które umożliwia dostęp do pulpitu zdalnego wykorzystywanego np. do udzielenia pomocy technicznej. W przypadku jednoczesnego wykorzystania tych luk w zabezpieczeniach haker jest w stanie wykonać dowolne polecenie na urzadzeniu zawierającym podatność.
Szczegółowe informacje o lukach w zabezpieczeniach
CVE-2024-1708 to luka w zabezpieczeniach typu path-traversal z CVSS na poziomie 8.4, występująca w ScreenConnect w wersji 23.9.7 i wcześniejszych. Pozwala na nieautoryzowany dostęp do plików oraz katalogów, do których w normalnych warunkach użytkownik nie powinien mieć dostępu. Wektorem ataku są parametry przekazywane do aplikacji, reprezentujące ścieżki do zasobów, na których mają zostać wykonane określone operacje – odczyt, zapis, listowanie zawartości katalogu. Manipulacja ścieżką odbywa się np. poprzez dodawanie ciągu znaków „../”.
Luka CVE-2024-1709, występująca również w ScreenConnect w wersji 23.9.7 i wcześniejszych, pozwala na ominięcie mechanizmu autentykacji i otrzymała ocenę 10.0 w CVSS. Osoba wykorzystująca tę lukę może uzyskać podwyższone uprawnienia, aż do naśladowania roli administratora systemu i całkowicie przejąć instancję, w tym uzyskać bezpośredni dostęp do poufnych informacji, utworzyć konta administratorów i usunąć wszystkich innych użytkowników w publicznie ujawnionych stanowiskach.
Stan wykorzystania
Początkowe porady opublikowane przez ConnectWise 13 lutego 2024 r. nie zawierały dowodów na to, że luki zostały wykorzystane. Jednak w ostatnich aktualizacjach ConnectWise potwierdziło istnienie zhakowanych kont, a to wskazuje na aktywne wykorzystywanie podatności. Co więcej, raporty kilku badaczy i firm zajmujących się bezpieczeństwem potwierdzają, że luka umożliwiająca obejście uwierzytelniania (CVE-2024-1709) wymaga minimalnej wiedzy technicznej, a exploity typu proof-of-concept zostały niedawno opublikowane w sieci. Ze względu na swój status wykorzystania, podatność ta została niedawno dodana przez amerykańską Agencję Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) do listy znanych wykorzystanych luk w zabezpieczeniach (KEV).
Dokładna skala kampanii exploitów jest obecnie nieznana, ale według firmy Huntress zajmującej się cyberbezpieczeństwem, ponad 8800 serwerów korzysta z podatnej na ataki wersji ScreenConnect i istnieją przypuszczenia, że tak podatność stała się przedmiotem powszechnego wykorzystania do dostarczania oprogramowania ransomware, koni trojańskich (RAT - Remote Access Trojan), złośliwego oprogramowania i kopania kryptowalut.
Zalecenia
Zalecamy natychmiastową aktualizację lokalnej instalacji ConnectWise ScreenConnect do wersji 23.9.8 lub nowszej, aby usunąć obie podatności.
ConnectWise informuje również, że osoby korzystające z wersji chmurowej, nie muszą wykonywać żadnych dodatkowych czynności i ich rozwiązania zostały automatycznie zaktualizowane. Co więcej, producent zdecydował się rozszerzyć wsparcie na partnerów, którzy nie są już objęci supportem i naprawić lukę CVE-2024-1709, kwalifikując ich do bezpłatnej instalacji wersji 22.4.
W swojej najnowszej aktualizacji firma udostępniła "dodatkowy krok łagodzący dla niezałatanych użytkowników lokalnych, który zawiesza instancję, jeśli nie jest ona w wersji 23.9.8 lub nowszej". Jeśli aplikacja jest podatna na ataki, "zostanie wysłany alert z instrukcjami dotyczącymi wykonania niezbędnych działań w celu zwolnienia serwera".
Aktualizacja 24-02-27: Dodano nowe testy
Aby pomóc naszym klientom zweryfikować, czy wersja zainstalowana w systemach docelowych jest podatna, firma Holm Security opublikowała dwa testy podatności:
- Test sprawdzający wersję: HID-2-1-5356966 ConnectWise ScreenConnect < 23.9.8 wiele podatności
- Zdalny test, który aktywnie sprawdza możliwość wykorzystania obejścia uwierzytelniania: HID-2-1-5356185 ScreenConnect Authentication Bypass - CVE-2024-1709
Mateusz Piątek
senior product manager Holm Security
Masz pytania?
Skontaktuj się ze mną:
piatek.m@dagma.pl
532 570 255