هناك زوج من الثغرات الأمنية التي تم الكشف عنها حديثًا في تطبيق الوصول إلى سطح المكتب البعيد المستخدم على نطاق واسع والمحبوب لدى مقدمي الخدمات المدارة (MSPs) مما يؤدي إلى إجراء مقارنات مع الهجوم السيبراني في يوليو 2021 على كاسيا، حيث وصف خبراء أمنيون الاستغلال بأنه تافه.
المنتج المعني، ConnectWise ScreenConnect، يستخدم على نطاق واسع من قبل العاملين عن بعد وفرق دعم تكنولوجيا المعلومات على حد سواء. تتيح الثغرة الأمنية الأولى لممثل التهديد تحقيق تجاوز المصادقة باستخدام مسار أو قناة بديلة ويتم تعقبها باسم CVE-2024-1709. وهو يحمل درجة حرجة في نظام CVSS تبلغ 10، وقد تمت إضافته بالفعل إلى كتالوج الثغرات الأمنية المعروفة (KEV) الخاص بـ CISA. أما المشكلة الثانية فهي مشكلة اجتياز المسار، والتي يتم تتبعها باسم CVE-2024-1708، والتي تحمل درجة CVSS تبلغ 8.4.
أصدرت ConnectWise إصلاحات لهذه المشكلة، وتقول إنه تم معالجة شركاء السحابة ضد كليهما بالفعل، بينما يجب على الشركاء المحليين التحديث على الفور إلى الإصدار 23.9.10.8817. مزيد من المعلومات، بما في ذلك مؤشرات التسوية (IoCs) متاحة هنا.
وأكدت ConnectWise أنها كانت على علم بإخطارات النشاط المشبوه حول هاتين الثغرات وتحقق فيها، وفي 21 فبراير أكدت الاستغلال النشط الملحوظ بعد أن ضرب كود استغلال إثبات المفهوم GitHub.
“يجب على أي شخص لديه ConnectWise ScreenConnect 23.9.8 اتخاذ خطوات فورية لتصحيح هذه الأنظمة. إذا لم يتمكنوا من التصحيح على الفور، فيجب عليهم اتخاذ الخطوات اللازمة لإزالتهم من الإنترنت حتى يتمكنوا من التصحيح. وقال كريستوفر بود، مدير Sophos X-Ops: “يجب على المستخدمين أيضًا التحقق من وجود أي مؤشرات على وجود اختراق محتمل نظرًا للسرعة التي اتبعت بها الهجمات هذه التصحيحات”.
“يعد اقتران الثغرة الأمنية القابلة للاستغلال مع الخدمات الخارجية عن بعد عاملاً مهمًا في الهجمات الواقعية، كما يتضح من تقرير الخصم النشط لقادة التكنولوجيا بناء على حالات الاستجابة للحوادث. الخدمات الخارجية عن بعد هي تقنية الوصول الأولي الأولى؛ في حين أن استغلال الثغرة الأمنية كان السبب الجذري الثاني الأكثر شيوعًا، بنسبة 23%، فقد كان السبب الجذري الأكثر شيوعًا في الماضي.
وأضاف: “تُظهر هذه البيانات الواقعية مدى قوة هذا المزيج بالنسبة للمهاجمين ولماذا في بيئة التهديدات المرتفعة هذه بشكل كبير، يحتاج عملاء ConnectWise الضعفاء إلى اتخاذ إجراءات فورية لحماية أنفسهم”.
بعد إشعار الإفصاح الأولي لشركة ConnectWise، الباحثون في Huntress Security لقد عملنا بين عشية وضحاها لإزالة الثغرة الأمنية وفهم كيفية عملها وإعادة إنشاء الاستغلال.
قال هانسلوفان إن الكشف الأولي كان متناثرًا جدًا فيما يتعلق بالتفاصيل الفنية، وذلك لسبب وجيه، ولكن بعد نشر كود استغلال إثبات المفهوم (PoC)، أصبح القط الآن في حالة جيدة وحقيقية خارج الحقيبة. ووصف الاستغلال بأنه “سهل بشكل محرج”.
قال: “لا أستطيع أن أغطي الأمر، هذا أمر سيء”. كايل هانسلوفان، الرئيس التنفيذي لشركة هانتريس. “نحن نتحدث عن ما يزيد عن عشرة آلاف خادم يتحكم في مئات الآلاف من نقاط النهاية…. يشير الانتشار الكبير لهذا البرنامج والوصول الذي توفره هذه الثغرة الأمنية إلى أننا على أعتاب برنامج فدية مجاني للجميع. لقد ثبت أن المستشفيات والبنية التحتية الحيوية ومؤسسات الدولة معرضة للخطر.
مقارنات مع كاسيا
2021 تم إصابة Kasya من قبل طاقم REvil Ransomware كانت إحدى أولى حوادث سلسلة التوريد البارزة التي أدت إلى زيادة الوعي على نطاق واسع بالمشكلات الأمنية المحيطة بالخدمات المُدارة.
الهجوم، الذي وقع في الولايات المتحدة خلال عطلة نهاية الأسبوع في 4 يوليو، عندما كانت فرق الأمن تستمتع ببعض أوقات التوقف عن العمل، شهد اختراق أكثر من ألف منظمة عبر نقطة النهاية وخدمة إدارة الشبكة من Kasya.
كان لحادث نقل الملفات المُدار بواسطة MOVEit في عام 2023 تأثير مماثل، مما مكن عصابة Clop/Cl0p من برامج الفدية من الانتشار إلى عدد كبير من المؤسسات الذين تعاقدوا مع عملاء MOVEit.
وقال هانسلوفان إن المقارنات مع كلتا الحادثتين كانت مناسبة، نظرًا للعدد الهائل من مقدمي خدمات MSP الذين يستخدمون ConnectWise.
«هناك حسابات قادمة مع البرامج ذات الأغراض المزدوجة؛ مثل Huntress الذي تم الكشف عنه مع MOVEit خلال الصيف، نفس الوظيفة السلسة التي توفرها لفرق تكنولوجيا المعلومات، كما أنها توفرها أيضًا للمتسللين.
“باستخدام برنامج الوصول عن بعد، يستطيع الأشرار نشر برامج الفدية بنفس السهولة التي يستطيع بها الأخيار نشر التصحيح. وبمجرد أن يبدأوا في نشر برامج تشفير البيانات الخاصة بهم، سأكون على استعداد للمراهنة على أن 90% من برامج الأمان الوقائية لن تكتشفها لأنها تأتي من مصدر موثوق به.
