Detalii tehnice și exploatare a conceptului sunt disponibile pentru cele două vulnerabilități pe care ConnectWise le-a dezvăluit mai devreme în această săptămână pentru ScreenConnect, software-ul său de acces și desktop remote.
O zi după ce vendorul a publicat problemele de securitate, atacatorii au început să le exploateze în atacuri.
CISA a asignat identificatorii CVE-2024-1708 și CVE-2024-1709 celor două probleme de securitate, pe care vendorul le-a evaluat ca fiind o bypassare a autentificării de severitate maximă și o problemă de traversare a căilor de severitate ridicată care afectează serverele ScreenConnect 23.9.7 și anterioare.
ConnectWise a îndemnat administratorii să își actualizeze serverele on-premise la versiunea 23.9.8 imediat pentru a atenua riscul și a clarificat că cei cu instanțe pe cloudul screenconnect.com sau hostedrmm.com au fost securizate.
Actorii de amenințare au compromis mai multe conturi ScreenConnect, așa cum a confirmat compania printr-o actualizare a avertismentului său, bazată pe investigațiile de răspuns la incidente.
Compania de securitate cibernetică Huntress a analizat vulnerabilitățile și a avertizat că dezvoltarea unei exploatare este o sarcină trivială.
Compania a declarat de asemenea că luni platforma Censys arăta că peste 8.800 de servere vulnerabile ScreenConnect erau expuse. O evaluare din partea Fundației ShadowServer a remarcat că ieri numărul era în jur de 3.800.
Primele exploatare funcționale au apărut rapid după ce ConnectWise a anunțat cele două vulnerabilități și continuă să fie publicate altele. Acest lucru a determinat Huntress să-și împărtășească analiza detaliată și să arate cât de ușor este să creeze o exploatare, în speranța că companiile vor acționa mai repede cu pașii de remediere.
Huntress a identificat cele două probleme privind modificările de cod introduse de vendor odată cu patch-ul.
Pentru prima problemă, au descoperit o nouă verificare într-un fișier text care indica faptul că procesul de autentificare nu era securizat împotriva tuturor căilor de acces, inclusiv asupra asistentului de configurare (‘SetupWizard.aspx’).
Acest lucru a indicat posibilitatea ca în versiunile vulnerabile o solicitare special concepută să permită utilizatorilor să folosească asistentul de configurare chiar și atunci când ScreenConnect fusese deja configurat.
Datorită asistentului de configurare care permitea acest lucru, un utilizator putea crea un nou cont de administrator și să-l folosească pentru a prelua controlul instanței ScreenConnect.
Exploatarea bug-ului de traversare a căilor este posibilă cu ajutorul unei alte solicitări special concepute care permite accesarea sau modificarea fișierelor în afara directorului restricționat intenționat.
Problema a fost identificată observând modificările de cod pe fișierul ‘ScreenConnect.Core.dll’, indicând că este vorba de ZipSlip, o vulnerabilitate care apare atunci când aplicațiile nu își curăță corespunzător calea de extragere a fișierului, ceea ce ar putea duce la suprascrierea fișierelor sensibile.
Actualizările de la ConnectWise introduc o validare mai strictă a căilor la extragerea conținutului fișierului ZIP, în mod specific pentru a preveni scrierea fișierelor în afara subdirectoarelor designate în interiorul folderului ScreenConnect.
Având acces administrativ din exploatarea anterioară, este posibil să se acceseze sau să se manipuleze fișierul User.xml și alte fișiere sensibile prin elaborarea de solicitări care includ secvențe de traversare a directorului pentru a naviga în sistemul de fișiere dincolo de limitele intenționate.
În cele din urmă, atacatorul poate încărca o încărcătură, cum ar fi un script sau un executabil rău intenționat, în afara subdirectorului ScreenConnect.
Huntress a împărtășit indicatori de compromis (IoC) și ghiduri de detecție analitică bazate pe artefactele create atunci când aceste probleme sunt exploatate.
Administratorii care nu au aplicat actualizările de securitate sunt recomandați cu tărie să folosească detecțiile pentru a verifica accesul neautorizat.