Populaarse ConnectWise ScreenConnecti toote kahe ohtliku haavatavuse avalikustamine toob võrdluse suurte küberintsidentidega, sealhulgas 2021. aasta Kaseya rünnakuga.
1 — Hallatavate teenuste pakkujate (MSP-de) armastatud laialdaselt kasutatavas kaugtöölaua juurdepääsurakenduses on hiljuti avalikustatud turvaaukude paar võrdlust 2021. aasta juuli küberrünnakuga Kaseya vastu, kusjuures turvaeksperdid kirjeldavad ärakasutamist triviaalsena.
・Kõnealust toodet ConnectWise ScreenConnect kasutavad laialdaselt nii kaugtöötajad kui ka IT-tugimeeskonnad. Esimene haavatavus võimaldab ohus osalejal autentimisest mööda minna, kasutades alternatiivset teed või kanalit, ja seda jälgitakse kui CVE-2024-1709. Selle CVSS-i kriitiline skoor on 10 ja see on juba lisatud CISA tuntud ärakasutatud haavatavuse (KEV) kataloogi. Teine on tee läbimise probleem, mida jälgitakse kui CVE-2024-1708, mille CVSS-i skoor on 8,4.
・ConnectWise on välja andnud probleemile parandused ja ütleb, et pilvepartnerid on juba mõlema vastu kõrvaldatud, samas kui kohapealsed partnerid peaksid viivitamatult värskendama versioonile 23.9.10.8817. Lisateavet, sealhulgas kompromissi näitajaid (IoC) leiate siit.
・ConnectWise kinnitas, et on teadlik kahe haavatavusega seotud kahtlasest tegevusest ja uurib neid, ning 21. veebruaril kinnitas, et GitHubi jõudis kontseptsiooni tõestuseks kasutava koodini aktiivne ärakasutamine.
2 — "Igaüks, kellel on ConnectWise ScreenConnect 23.9.8, peaks nende süsteemide parandamiseks viivitamatult astuma samme. Kui nad ei saa kohe paika panna, peaksid nad võtma meetmeid, et need Internetist eemaldada, kuni nad saavad paika panna. Kasutajad peaksid kontrollima ka võimalike kompromisside viiteid, arvestades rünnakute kiirust, millega need paigad on järgnenud, ”ütles Sophos X-Opsi direktor Christopher Budd.
・„Kasutava haavatavuse sidumine väliste kaugteenustega on reaalsete rünnakute puhul oluline tegur, nagu näitab intsidentidele reageerimise juhtumitel põhinev tehnoloogiajuhtide aktiivsete vastase aruanne. Välised kaugteenused on esialgne juurdepääsutehnika number üks; Kuigi haavatavuse ärakasutamine oli levinuim algpõhjus (23%), on see minevikus olnud kõige levinum algpõhjus.
・"Need reaalmaailma andmed näitavad, kui võimas see kombinatsioon ründajate jaoks on ja miks peavad haavatavad ConnectWise'i kliendid selles märkimisväärselt kõrgendatud ohukeskkonnas enda kaitsmiseks viivitamatult tegutsema," lisas ta.
・Pärast ConnectWise'i esialgset avalikustamisteadet töötasid Huntress Security teadlased üleöö, et haavatavus maha võtta, mõista, kuidas see toimib, ja ärakasutamine uuesti luua.
・Hanslovan ütles, et tehniliste üksikasjade esialgne avalikustamine oli mõjuval põhjusel väga napp, kuid pärast PoC kasutuskoodi avaldamist oli kass nüüd korralikult kotist väljas. Ta kirjeldas ärakasutamist kui "piinlikult lihtsat".
・"Ma ei saa seda üle kanda, see jama on halb," ütles Huntressi tegevjuht Kyle Hanslovan. „Me räägime kümnest tuhandest serverist, mis juhivad sadu tuhandeid lõpp-punkte…. Selle tarkvara laialdane levimus ja selle haavatavus annab märku, et oleme kõigile tasuta lunavara künnisel. Haiglad, kriitiline infrastruktuur ja riigiasutused on osutunud ohus.
3 — Võrdlused Kaseyaga
・2021. aasta Kaseya, mille REvili lunavarameeskond tabas, oli üks esimesi kõrgetasemelisi tarneahela juhtumeid, mis tõstis laialdast teadlikkust hallatavate teenustega seotud turvaprobleemidest.
・Rünnak, mis leidis aset USA-s 4. juuli pühade nädalavahetusel, mil turvameeskonnad nautisid seisakuid, sattus Kaseya lõpp-punkti ja võrguhaldusteenuse kaudu üle tuhande organisatsiooni ohtu.
・2023. aasta MOVEiti hallatud failiedastusjuhtum avaldas sarnast mõju, võimaldades Clop/Cl0p lunavarajõugul levida allavoolu paljudesse MOVEiti klientidega lepingu sõlminud organisatsioonidesse.
・Hanslovan ütles, et võrdlused mõlema juhtumiga olid sobivad, arvestades ConnectWise'i kasutavate MSP-de tohutut arvu.
・„Kahe otstarbega tarkvaraga tuleb arvestada; nagu Huntress, mille MOVEit suvel paljastas, pakub see sama sujuvat funktsionaalsust IT-meeskondadele, annab see ka häkkeritele, ”sõnas ta.
・"Kaugjuurdepääsutarkvaraga saavad pahalased lunavara lükata sama lihtsalt kui head poisid plaastrit. Ja kui nad hakkavad oma andmete krüptoreid välja suruma, oleksin valmis kihla vedama, et 90% ennetavast turvatarkvarast ei saa seda kinni, kuna see pärineb usaldusväärsest allikast.
https://www.computerweekly.com/news/...nectWise-vulns