Η εταιρεία ConnectWise προειδοποίησε τους πελάτες της να ενημερώσουν αμέσως τους διακομιστές του ScreenConnect ενάντια σε μια σοβαρή ευπάθεια που μπορεί να χρησιμοποιηθεί σε επιθέσεις εκτέλεσης απομακρυσμένου κώδικα (RCE).
Δείτε επίσης: SolarWinds: Ανακαλύφθηκαν σοβαρές ευπάθειες RCE
Αυτό το πρόβλημα ασφαλείας οφείλεται σε μια αδυναμία παράκαμψης ταυτοποίησης, την οποία οι επιτιθέμενοι μπορούν να εκμεταλλευτούν για να αποκτήσουν πρόσβαση σε εμπιστευτικά δεδομένα ή να εκτελέσουν αυθαίρετο κώδικα απομακρυσμένα σε ευάλωτους διακομιστές, με επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση από το χρήστη.
Επιπλέον, η εταιρεία διόρθωσε μια ευπάθεια path traversal στο λογισμικό απομακρυσμένης επιφάνειας εργασίας της, η οποία μπορεί να καταχραστεί μόνο από επιτιθέμενους με υψηλά προνόμια.
Το ConnectWise προειδοποίησε ότι “αναφέρθηκαν ευπάθειες RCE στις 13 Φεβρουαρίου 2024, μέσω του καναλιού αποκάλυψης ευπαθειών μας μέσω του Κέντρου Εμπιστοσύνης της ConnectWise.”
“Δεν υπάρχουν αποδείξεις ότι αυτές οι ευπάθειες έχουν εκμεταλλευτεί στη φύση, αλλά πρέπει να ληφθεί άμεση δράση από τους εταίρους on-premise για να αντιμετωπιστούν αυτοί οι εντοπισμένοι κίνδυνοι ασφάλειας.“
Η εταιρεία ConnectWise δεν έχει ακόμη αναθέσει αναγνωριστικά CVE στις δύο αδυναμίες ασφαλείας RCE που επηρεάζουν όλους τους διακομιστές που εκτελούν το ScreenConnect 23.9.7 και προηγούμενες εκδόσεις.
Αν και οι cloud διακομιστές της ScreenConnect που φιλοξενούνται στις screenconnect.com ή hostedrmm.com είναι ήδη ασφαλισμένοι ενάντια σε πιθανές επιθέσεις, οι διαχειριστές που χρησιμοποιούν λογισμικό on-premise συνιστούνται να ενημερώσουν τους δικούς τους servers στην άμεση έκδοση της ScreenConnect 23.9.8.
Οι ερευνητές ασφάλειας της Huntress ανέφεραν σήμερα ότι έχουν ήδη δημιουργήσει ένα προσχέδιο (PoC) εκμετάλλευσης που μπορεί να χρησιμοποιηθεί για να παρακάμψει την ταυτοποίηση σε μη επιδιορθωμένους διακομιστές ScreenConnect. Η Huntress ανέφερε ότι μια αναζήτηση στην πλατφόρμα διαχείρισης έκθεσης Censys, τους επέτρεψε να εντοπίσουν περισσότερους από 8,800 servers ευάλωτους σε επιθέσεις.
Δείτε ακόμα: Wyze Cam v3: Ευπάθεια RCE στην κάμερα, ενημερώστε άμεσα
H Shodan παρακολουθεί επίσης πάνω από 7.600 διακομιστές ScreenConnect, με μόνο 160 να λειτουργούν επί του παρόντος με την ενημερωμένη έκδοση ScreenConnect 23.9.8.
Τον προηγούμενο μήνα, οι CISA, NSA και MS-ISAC εξέδωσαν μια κοινή ειδοποίηση ότι οι επιτιθέμενοι χρησιμοποιούν όλο και περισσότερο νόμιμο λογισμικό απομακρυσμένης παρακολούθησης και διαχείρισης (RMM) όπως το ConnectWise ScreenConnect για την εκτέλεση RCE.
Χρησιμοποιώντας λογισμικό απομακρυσμένης επιφάνειας εργασίας ως σημείο εισόδου στα δίκτυα των στόχων τους, οι κακόβουλοι φορείς μπορούν να έχουν πρόσβαση στα συστήματά τους ως τοπικοί χρήστες χωρίς την ανάγκη διαχειριστικών δικαιωμάτων ή νέων πλήρων εγκαταστάσεων λογισμικού. Αυτό τους επιτρέπει να παρακάμψουν τους ελέγχους ασφαλείας και να έχουν πρόσβαση σε άλλες συσκευές στο δίκτυο εκμεταλλευόμενοι τις άδειες του χρήστη που έχει υποστεί παραβίαση.
Επιτιθέμενοι χρησιμοποιούν το ScreenConnect για κακόβουλους σκοπούς εδώ και χρόνια, συμπεριλαμβανομένης της κλοπής δεδομένων και της αποστολής ransomware payloads σε θύματα που έχουν υποστεί παραβίαση στα συστήματά τους.
Πιο πρόσφατα, η Huntress εντόπισε και απειλητικούς παράγοντες που χρησιμοποιούν τοπικά παραδείγματα του ScreenConnect για μόνιμη πρόσβαση σε χακαρισμένα δίκτυα.
Δείτε επίσης: GNOME Linux: Εκτίθενται σε επιθέσεις RCE μέσω λήψης αρχείων
Ποιες είναι οι κοινές μέθοδοι προστασίας από RCE flaw;
Μια κοινή μέθοδος προστασίας από RCE flaw όπως αυτό στο ScreenConnect της ConnectWise είναι η ενημέρωση και η διατήρηση του λογισμικού σας. Τα ενημερωμένα συστήματα και εφαρμογές έχουν συχνά διορθώσεις για τα γνωστά RCE flaws, επομένως είναι σημαντικό να ενημερώνετε τακτικά το λογισμικό σας. Η χρήση ενός συστήματος διαχείρισης παραβιάσεων ασφαλείας μπορεί επίσης να βοηθήσει στην προστασία από τα RCE flaws. Αυτά τα συστήματα μπορούν να εντοπίσουν και να απομονώσουν τις παραβιάσεις, προσφέροντας μια επιπλέον στρώση προστασίας. Η εφαρμογή της αρχής του Principle of least privilege είναι άλλη μια τεχνική προστασίας. Αυτό σημαίνει ότι οι χρήστες και οι διεργασίες θα πρέπει να έχουν μόνο τα απαραίτητα δικαιώματα που χρειάζονται για την εκτέλεση των καθηκόντων τους, περιορίζοντας έτσι την πιθανή ζημιά που μπορεί να προκληθεί από ένα RCE flaw. Τέλος, η εκπαίδευση του προσωπικού σας σχετικά με τις καλές πρακτικές ασφαλείας και την αναγνώριση των RCE flaws μπορεί να είναι ιδιαίτερα χρήσιμη. Η ενημέρωση και η εκπαίδευση μπορούν να βοηθήσουν στην πρόληψη των επιθέσεων και στην προστασία των συστημάτων σας.
Πηγή: bleepingcomputer
