ConnectWise اخیرا به روزرسانیهای نرمافزاری را برای رفع دو نقص امنیتی در دسکتاپ راه دور (Remote Desktop) و نرمافزار دسترسی (ScreenConnect (Access Software منتشر کرده است، از جمله یک باگ مهم که میتواند اجرای کد از راه دور (RCE) را در سیستمهای آسیب دیده فعال کند.
این شرکت به کاربران هشدار داد که بلافاصله سرورهای ScreenConnect خود را به ویژه در برابر یک نقص حداکثری که میتواند در حملههای اجرای کد از راه دور استفاده شود، وصله کنند. آسیبپذیریهای حیاتی که میتوانند امکان اجرای کد از راه دور یا تأثیر مستقیم بر دادههای محرمانه یا سیستمهای حیاتی را فراهم سازند، در حال حاضر فاقد شناسههای CVE هستند.
CISA شناسههای CVE-2024-1708 و CVE-2024-1709 را به نقصهای امنیتی ScreenConnect اختصاص داده است. این آسیبپذیریها، سرورهای ScreenConnect 23.9.7 و قبلتر را تحت تأثیر قرار میدهد.
1️⃣ CVE-2024-1709 (CWE-288):
آسیبپذیری بحرانی دور زدن احراز هویت با استفاده از مسیر یا کانال جایگزین (امتیاز CVSS: 10.0). نفوذگران میتوانند از این نقص در حملاتی با پیچیدگی کم و بدون نیاز به تعامل کاربر، جهت دسترسی به دادههای محرمانه یا اجرای کد دلخواه از راه دور بر روی سرورهای آسیبپذیر سوء استفاده کنند.
نقص CVE-2024-1709 که به تازگی به کاتالوگ آسیبپذیریهای شناخته شده CISA افزوده شده است، یک روز پس از انتشار بهروزرسانیهای امنیتی ConnectWise و انتشار کد POC تحت بهرهبرداری فعال قرار گرفت.
2️⃣ CVE-2024-1708 (CWE-22):
محدودیت نامناسب یک مسیر به یک فهرست محدود با نام مستعار “پیمایش مسیر” (امتیاز CVSS: 8.4). این شرکت همچنین یک آسیبپذیری پیمایش مسیر (path traversal) با حداکثر شدت را در نرمافزار دسکتاپ راه دور خود وصله کرده است که تنها توسط مهاجمان با سطح دسترسی بالا قابل سوء استفاده است.
هر دو باگ امنیتی تمامی نسخههای ScreenConnect را تحت تأثیر قرار میدهند. به همین دلیل، این شرکت تمام محدودیتهای مجوز را حذف کرد تا کاربران با مجوزهای منقضی شده نیز بتوانند به آخرین نسخه نرمافزار ارتقا داده و سرورهای خود را در برابر حملهها ایمن سازند.
سوء استفاده از نقصهای ScreenConnect در حملههای باجافزاری
نرمافزار نظارت و مدیریت از راه دور قانونی (RMM) مانند ConnectWise ScreenConnect، به طور فزایندهای توسط نفوذگران برای اهداف مخرب از جمله سرقت دادهها و استقرار payloadهای باجافزار در سراسر سیستمهای هک شده قربانیان استفاده میشود.
در واقع نفوذگران با استفاده از نرمافزار دسکتاپ از راه دور به عنوان نقطه ورود به شبکههای هدف، میتوانند تحت عنوان کاربران محلی بدون نیاز به مجوزهای ادمین یا نصب نرمافزار کامل جدید به سیستمها دسترسی داشته باشند. بدین ترتیب امکان دور زدن کنترلهای امنیتی و دسترسی به سایر دستگاههای موجود در شبکه با استفاده از مجوزهای کاربر در معرض خطر برای نفوذگران مهیا میشود.
جزئیات فنی و کدهای POC برای دو آسیبپذیری مذکور که برای ScreenConnect، دسکتاپ راه دور و نرمافزار دسترسی آن فاش شد در دسترس هستند. همان طور که این شرکت در بهروزرسانی توصیه خود بر اساس تحقیقات واکنش به حادثه تأیید کرده است، عوامل تهدید چندین حساب ScreenConnect را به خطر انداختهاند.
اولین اکسپلویتهای موثر پس از اینکه ConnectWise دو آسیبپذیری را اعلام کرد به سرعت صورت گرفت. مهاجمان از آسیبپذیری دور زدن احراز هویت با حداکثر شدت به منظور نفوذ به سرورهای ScreenConnect وصله نشده و استقرار payloadهای باجافزار LockBit در شبکههای در معرض خطر سوء استفاده میکنند.
اخیراً شرکت امنیت سایبری Huntress نیز آسیبپذیریها را تجزیه و تحلیل کرده و نفوذگرانی را مشاهده کرده است که از نمونههای محلی ScreenConnect جهت دسترسی مداوم به شبکههای هک شده استفاده میکنند.
Sophos X-Ops نیز در گزارشی گفت: به تازگی حملههایی را مشاهده کرده است که عوامل تهدید پس از دستیابی به دسترسی (اخذ دسترسی)، با استفاده از اکسپلویتهایی که دو آسیبپذیری CVE-2024-1708 و CVE-2024-1709 در ScreenConnect را هدف قرار میدهند، باجافزار LockBit را بر روی سیستمهای قربانیان مستقر کردهاند.
همچنین بر اساس تحلیل پلتفرم نظارت بر تهدیدهای امنیتی Shadowserver، آسیبپذیری CVE-2024-1709 هم اکنون به طور گسترده مورد سوء استفاده قرار گرفته است و در حال حاضر با 643 IP سرورهای آسیبپذیر را هدف قرار میدهند. گفتنی است که ShadowServer در حال حاضر بیش از 8.659 سرور ScreenConnect را ردیابی میکند که از این میان تنها 980 سرور ScreenConnect، نسخه وصله شده 23.9.8 را اجرا میکنند.
