ConnectWise ScreenConnect 23.9.8: CVE-2024-1709
19 лютого 2024 року ConnectWise випустила сповіщення про безпеку щодо двох вад безпеки, виявлених у їхньому програмному забезпеченні для віддаленого керування ScreenConnect. Виявленими вадами були обхід автентифікації з оцінкою CVSS 10.0 і обхід каталогів (path traversal) з оцінкою CVSS 8.4, жодній із яких на той час не було присвоєно ідентифікаторів CVE. Ця стаття зосереджена на складних деталях уразливості обходу автентифікації, а для ознайомлення доступний proof of concept (POC).
Вступ
19 лютого 2024 року ConnectWise випустила сповіщення про безпеку щодо двох вад безпеки, виявлених у їхньому програмному забезпеченні для віддаленого керування ScreenConnect. Виявленими вадами були обхід автентифікації з оцінкою CVSS 10.0 і обхід каталогів (path traversal) з оцінкою CVSS 8.4, жодній із яких на той час не було присвоєно ідентифікаторів CVE. Ця стаття зосереджена на складних деталях уразливості обходу автентифікації, а для ознайомлення доступний proof of concept (POC).
Подальше оновлення: ваду обходу автентифікації 21 лютого 2024 року позначили як CVE-2024-1709 і включили до каталогу відомих експлуатованих уразливостей (KEV) CISA.
Аналіз патча
Порівняння відмінностей між версіями ScreenConnect 23.9.7.8804 і 23.9.8.8811 виявило незначну модифікацію у SetupWizard.aspx. Було впроваджено нову перевірку, яка гарантує, що початковий процес налаштування застосунку завершено, перш ніж отримати доступ до сторінки SetupWizard, — це критично важливо для генерації початкових облікових даних користувача.
Ідентифікація вразливості
У SetupModule.cs фільтр HTTP-запитів або перенаправляє всі запити на SetupWizard.aspx, якщо застосунок не налаштовано, або забороняє доступ до цієї сторінки після завершення налаштування. Однак у методі перевірки URL для SetupWizard.aspx є вада. Просто додавши слеш до URL, можна отримати несанкціонований доступ до майстра налаштування навіть після завершення налаштування, що створює значний ризик для безпеки.
Індикатори компрометації
Журнали аудиту адміністрування застосунку дають уявлення про нещодавні спроби входу, зокрема IP-адреси. Ці журнали необхідні для виявлення будь-яких незнайомих дій користувачів чи IP-адрес.
Після виявлення інформацією поділилися з GreyNoise, яка згодом розробила спеціальний тег для цієї вразливості, доступний для ознайомлення на їхній платформі.
Підсумок
Ця вразливість дозволяє несанкціонованим користувачам отримати адміністративний контроль над сервером ScreenConnect, створюючи нові адміністративні облікові записи. Вона демонструє повторювану проблему, помічену в нещодавніх уразливостях, коли зловмисники можуть повторно ініціалізувати застосунки або створювати нових початкових користувачів після налаштування. Подібну проблему задокументовано в CVE-2024-0204.
Попри те, що спочатку CVE не було присвоєно, користувачам ConnectWise ScreenConnect украй важливо негайно застосувати патчі, щоб зменшити ризик потенційної експлуатації.
Оновлення
22 лютого 2024 року: ConnectWise радить партнерам із локальним розгортанням оперативно оновитися до версії 23.9.8 або новішої, щоб усунути ці проблеми безпеки. Для невиправлених локальних інсталяцій впроваджено додатковий захід із пом’якшення, який призупинить екземпляри, не оновлені до версії 23.9.8 або пізнішої, з наданням інструкцій щодо оновлення.
21 лютого 2024 року: хмарні партнери повністю захищені від цих уразливостей, і жодних додаткових дій не потрібно. Партнерам із локальним розгортанням наполегливо рекомендується оновитися до найновішої версії ScreenConnect, щоб зменшити вразливості.
20 лютого 2024 року: випуск версії ScreenConnect 23.9.10.8817 привносить різні вдосконалення та виправлення безпеки, наголошуючи на важливості підтримання програмного забезпечення в актуальному стані для оптимальної безпеки та продуктивності. Крім того, ConnectWise зняла ліцензійні обмеження, щоб полегшити оновлення до найновішої версії для всіх партнерів.
Початковий бюлетень
Уразливості безпеки, про які повідомлено 13 лютого 2024 року, вимагають негайного оновлення від партнерів із локальним розгортанням, щоб убезпечитися від потенційної експлуатації. Ці вразливості, описані як CWE-288 і CWE-22, становлять критичний ризик, уможливлюючи несанкціонований доступ та атаки обходу каталогів (directory traversal).
Кроки з усунення:
- Хмарні сервери ScreenConnect уже оновлено та захищено.
- Локальні інсталяції необхідно негайно оновити до версії 23.9.8 для захисту.
ConnectWise наголошує на важливості оновлення до найновішої версії програмного забезпечення для забезпечення всебічного захисту від цих і майбутніх уразливостей.
