ما يحتاج مدراء تكنولوجيا المعلومات إلى معرفته
في وقت سابق من هذا الشهر، قامت شركة برمجيات إدارة تكنولوجيا المعلومات أعلنت ConnectWise عن نقاط الضعف في ScreenConnect، أداة الوصول عن بعد. يتم الآن الكشف عن الثغرات الحرجة (CVE-2024-1709 وCVE-2024-1708) استغلالها في البرية. ما الذي يحتاج مدراء تكنولوجيا المعلومات وغيرهم من قادة أمن المؤسسات إلى معرفته حول معالجة هذه الأخطاء واستغلالها حتى الآن؟
نقاط الضعف
CVE-2024-1709 عبارة عن ثغرة أمنية لتجاوز المصادقة؛ لديه نظام تسجيل نقاط الضعف المشتركة (CVSS) بدرجة 10 (على مقياس من 0 إلى 10). CVE-2024-1708 عبارة عن خطأ في اجتياز المسار بدرجة CVSS تبلغ 8.4. يمكن أن تمنح نقاط الضعف الجهات الفاعلة في مجال التهديد إمكانات تنفيذ التعليمات البرمجية عن بعد.
“من خلال الاستفادة من نقاط الضعف هذه، يمكن للخصوم تنظيم زيادة غير مصرح بها في الامتيازات للحصول على إشراف إداري على بيئة ScreenConnect في غياب بيانات اعتماد المصادقة المشروعة. وبالإضافة إلى ذلك، فإن ثغرة اجتياز المسار تسمح بالوصول غير المصرح به إلى الملفات أو تعديلها،” كما قال سعيد عباسي، مدير أبحاث الثغرات الأمنية في منصة أمن تكنولوجيا المعلومات والامتثال. كواليس“، يشرح في مقابلة عبر البريد الإلكتروني.
شارك ConnectWise ذلك معالجة نقاط الضعف خلال 36 ساعة التأكيد لشركائها السحابيين. وتنصح الشركاء المحليين بالترقية فورًا إلى أحدث إصدار من ScreenConnect.
يتم تطبيق التصحيحات. اعتبارًا من 27 فبراير، كان هناك أكثر من 3400 حالة من حالات ScreenConnect التي يحتمل أن تكون معرضة للخطر عبر الإنترنت، وفقًا لمنصة استخبارات التهديدات Censys. تشير تقارير Censys إلى انخفاض الحالات المكشوفة المعرضة للخطر بنسبة 47.7% في الأسبوع الذي أعقب إصدار ConnectWise للتصحيحات.
“يتم استخدام ConnectWise من قبل أكثر من 15000 شركة تدعم مئات الآلاف من نقاط النهاية، والأجهزة التي سيتم تثبيت ScreenConnect عليها،” بيتر أفيري، نائب رئيس الأمن والامتثال في شركة حلول التكنولوجيا الآمنة تكنولوجيا المعلومات الحافة البصرية“، يقول InformationWeek. “لنفترض أننا كنا محظوظين حقًا في هذه المرحلة وأن 80% من هذه الأجهزة تم تصحيحها. ولا يزال هذا يترك هدفًا كبيرًا جدًا لمجرمي الإنترنت للوصول إليه والتعامل معه بشكل جنوني.
استغلال
وبينما تم إصدار التصحيحات ويجري تطبيقها، اغتنمت الجهات الفاعلة في مجال التهديد الفرصة للاستفادة من نقاط الضعف. تم إدارة منصة الأمن السيبراني Huntress متابعة نقاط الضعف عن كثب وتبادل التفاصيل الفنية منذ 19 فبراير.
تمكن فريق Huntress من إعادة إنشاء الثغرة وبدأ في تقديم الإخطارات وإرشادات الكشف. لقد توقفوا في البداية عن تقديم التفاصيل الفنية بسبب مدى سهولة قيام الجهات الفاعلة في مجال التهديد باستغلال نقاط الضعف، وفقًا لجون هاموند، الباحث الأمني الرئيسي في Huntress.
لقد أصبح الدليل العام على المفهوم متاحًا، وبدأت قصة الاستغلال النشط في الظهور.
جهات التهديد، مثل بلاك باستا وBl00dy Ransomware، يستخدمون الثغرات الأمنية لنشر برامج الفدية، وفقًا لشركة Trend Micro. أشارت Huntress أيضًا إلى أن الجهات الفاعلة في مجال التهديد تستخدم برنامج الفدية LockBit، على الرغم من تعرض المجموعة لهجوم حديث عملية كبرى لتعطيل إنفاذ القانون.
يوضح هاموند: “ما رأيناه بالنسبة لبرنامج الفدية LockBit كان بصراحة نسخة مسربة أو نسخة مكشوفة علنًا للمنشئ أو أداة التشفير التي تم إتاحتها مرة أخرى في سبتمبر 2022”.
ويبدو حتى الآن أن الضرر قد تم احتواؤه نسبياً. “كان التصحيح فعالا. يقول هاموند: إن إجراءات التخفيف والدفاعات المطبقة قد أدت إلى تقييد الأضرار.
ولكن هناك احتمال أن يتسع نطاق الانفجار ليشمل العملاء والأجهزة النهائية. “نظرًا لأن ScreenConnect يستخدم على نطاق واسع من قبل MSPs، يجب على قادة الأمن إدراك الحاجة الملحة لمعالجة نقاط الضعف هذه، مع الأخذ في الاعتبار الطبيعة المترابطة للعلاقات بين MSP وعملاء MSP، واتخاذ تدابير فورية وشاملة للتخفيف من المخاطر ومنع الهجمات المتتالية على سلسلة التوريد،” باتريك تيكيت، نائب الرئيس لشؤون الأمن والهندسة المعمارية في حارس الأمن، شركة برمجيات الأمن السيبراني ذات الثقة المعدومة، تشارك في التعليقات المرسلة عبر البريد الإلكتروني.
إدارة المخاطر
يعد التصحيح هو الخطوة الأولى للتخفيف من مخاطر نقاط الضعف هذه. تدعو شركة Avery إلى اتباع نهج “الثقة والتحقق” مع البائعين. “لذلك، إذا قال ConnectWise، “نحن نقوم بتصحيح جميع خوادمنا؛ تحتاج إلى تصحيح نقاط النهاية الخاصة بك، فأنا دائمًا أتابع مع أي شركة تقدم الخدمة أو البرنامج أو أيًا كان وأقول: حسنًا، قدم لي دليلاً على أن هذا موجود.'”
في حين أن الترقيع أمر بالغ الأهمية، فإن العمل لا يتوقف عند هذا الحد. مع حدوث الاستغلال على نطاق واسع، تحتاج فرق أمان المؤسسات إلى البحث عن علامات الاختراق في بيئاتهم. “اذهب وابحث عن مؤشرات التسوية تلك. “اذهب وابذل العناية الواجبة في صيد التهديدات لأنه قد تكون هناك دلتا كبيرة جدًا … بين وقت التصحيح ووقت انتهاء الاستغلال في البرية،” ينصح هاموند.
إذا اكتشف قادة الأمن أن الاستغلال الناجح لهذه الثغرات الأمنية قد أثر على مؤسساتهم، فقد حان الوقت لوضع خطط الاستجابة للحوادث الخاصة بهم موضع التنفيذ. وقد يحتاجون إلى الاستعانة بخبراء أمنيين خارجيين لفهم نطاق الاختراق والتعافي بالكامل. ويقول أفيري: “من المهم الاستعانة بهؤلاء الخبراء الأمنيين لمساعدتك في تشكيل استراتيجية ومن ثم وضع التكتيكات الصحيحة في مكانها الصحيح”.
من المرجح أن تتكشف القصة الكاملة للاستغلال على مدى أسابيع أو أشهر أو حتى لفترة أطول. سيتعين على قادة أمن المؤسسات أن يظلوا يقظين بينما تفكر الجهات الفاعلة في التهديد في كيفية تعظيم الضرر.
يشرح هاموند قائلاً: “إن أي جهة تهديد أو خصم جدير بالاهتمام سوف يقوم بهذا الرذاذ الكبير والدعاء، فقط يجمع أكبر قدر ممكن من الوصول”. “وإذا كانوا أذكياء، [they] سوف يتمسك بذلك وينتظر حتى يخرج هذا من دائرة الضوء. لذلك، ربما بعد أسبوعين، أو ربما ثلاثة أسابيع، أو ربما أشهر أو حتى لفترة أطول، وبعد ذلك سوف يتحولون إلى أسلحة ويحدثون المزيد من الضرر.
على الرغم من أهمية ثغرات ConnectWise ScreenConnect هذه، إلا أنها ليست فريدة من نوعها. “هذا ليس نوعًا غير شائع من الضعف. يقول جيف ويليامز، المؤسس المشارك والرئيس التنفيذي للتكنولوجيا في منصة برمجيات أمان التطبيقات: “سيحدث هذا مرة أخرى، ويجب أن يكون لدى CISOs خطة جاهزة لاكتشاف هذه الأنواع من المشكلات وأن يكون لديهم خطة استجابة جاهزة”. أمان التباين.