Zum Inhalt springen
Neuer Bericht: Holen Sie sich Ihr Exemplar des State of the Internet Report 2024! | Heute herunterladen
Blogs

ConnectWise ScreenConnect - CVE-2024-1709 und CVE-2024-1708

Zusammenfassung:

 

  • ConnectWise hat kürzlich zwei Sicherheitslücken geschlossen, CVE-2024-1709 und CVE-2024-1708behoben, die alle Versionen der ScreenConnect Remote-Desktop-Software betreffen
  • CVE-2024-1709 ist ein aktiv ausgenutzte kritisches Authentifizierungsumgehungsrisiko mit einer maximalen CVSS-Wert von 10 - Es ist unglaublich leicht auszunutzen und es wurde beobachtet, dass sie für nachfolgende bösartige Aktivitäten ausgenutzt wurde, darunter Ransomware-Versuche und den Einsatz zusätzlicher Fernzugriffstools.
  • ConnectWise hat einen Patch in der Version 23.9.8und On-Premise-Benutzer werden dringend gebeten, sofort zu aktualisieren. In der Cloud gehostete Instanzen wurden automatisch gepatcht. Insbesondere wurden die Lizenzbeschränkungen aufgehoben, so dass alle Benutzer den Patch unabhängig vom Lizenzstatus anwenden können.
  • Ab Dienstag, 27. Februarbeobachtete Censys über 3.400 potenziell gefährdete ScreenConnect-Hosts online, die meisten mit der Version 19.1.24566. Seit der Veröffentlichung der Patches am 19. Februar beobachtet Censys eine laufenden Rückgang der potenziell gefährdeten Instanzen, die im InternetDie Zahl ist gesunken um 47.7% in der letzten Woche seit der Veröffentlichung der Patches.
  • Es ist klar, dass Fernzugriffs-Software wie ScreenConnect weiterhin ein Hauptziel für Bedrohungsakteure ist. Um ihre Sicherheitslage zu verbessern, sollten Unternehmen erwägen, die Webschnittstellen für diese Tools hinter Firewalls abzuschirmen, wann immer dies möglich ist. Durch die Einschränkung des direkten Zugriffs auf das öffentliche Internet wird die Angriffsfläche verringert.
  • Censys Exposure Management Kunden können ihre Arbeitsbereiche mit dieser Risikoabfrage nach betroffenen Instanzen durchsuchen: risks.name: 'Anfälliges ConnectWise [CVE-2024-1708, CVE-2024-1709]'
  • Censys Search Abfrage für ausgesetztes ScreenConnect: services.software:(vendor: "connectwise" and product: "control")

Einleitung:

Am 19. Februar 2024 gab ConnectWise bekannt, dass es zwei kritische Sicherheitslücken gepatcht hat, die als CVE-2024-1709 und CVE-2024-1708 bezeichnet werden. Diese Sicherheitslücken betreffen ScreenConnect-Versionen 23.9.7 und früher und stellen ein erhebliches Risiko für Benutzer vor Ort dar. 

CVE-2024-1709 - Sicherheitslücke bei der Umgehung der Authentifizierung:

ConnectWise identifizierte CVE-2024-1709 als kritische Authentifizierungsumgehungsschwachstelle mit dem höchstmöglichen CVSS-Schweregrad von 10. In einer technischen Analyse die von Huntress veröffentlicht wurde, stellten die Forscher fest, dass die Ausnutzung dieser Schwachstelle erschreckend trivial ist. Durch Aufrufen der Datei "/SetupWizard.aspx/"mit einer beliebigen Pfadangabe können Angreifer auf den Einrichtungsassistenten von bereits konfigurierten ScreenConnect-Instanzen zugreifen, vorhandene Benutzerdaten überschreiben und Code aus der Ferne ausführen, indem sie ScreenConnect-Plugins erstellen. Der Autor des entsprechenden Metasploit-Moduls für diese Sicherheitslücke hat festgestellt, dass der Exploit auch dann funktioniert, wenn man den Fall der "SetupWizard.aspx"auf einem Windows-Ziel funktioniert, bei einem Linux-Ziel jedoch die Groß- und Kleinschreibung beachtet wird.

CVE-2024-1708 - Path Traversal Vulnerability:

CVE-2024-1708 ist eine hochgradig gefährliche Sicherheitslücke, die dieselben ScreenConnect-Versionen wie CVE-2024-1709 betrifft. Sobald CVE-2024-1709 ausgenutzt wird, um die Kontrolle über ein Gerät zu übernehmen, kann CVE-2024-1708 ausgenutzt werden, um Remotecodeausführung (RCE) auf der Instanz zu erreichen. 

Die aktive Ausnutzung dieser Schwachstellen ist bereits weithin beobachtet wordenzusammen mit verschiedenen Aktivitäten nach der Ausnutzung. Untersuchungen von Huntress zeigen, dass Bedrohungsakteure beobachtet wurden, die versuchten, Ransomware-Nutzdaten, Kryptowährungs-Miner und zusätzliche Fernzugriffs-Tools wie Cobalt Strike Beacon einzusetzen, nachdem sie Zugriff auf kompromittierte Geräte erlangt hatten. Sophos meldete die Beobachtung von Ransomware-Payloads, die mit einer durchgesickerten LockBit Ransomware Builder. Es wird empfohlen, die Microsoft IIS-Protokolle auf alle Anfragen an die Adresse "/SetupWizard.aspx" zu überwachen, die ein nachgestelltes Pfadsegment als Indikator für eine Gefährdung aufweisen.

ConnectWise hat in Version 23.9.8 einen Patch für beide Sicherheitslücken veröffentlicht. Beachten Sie, dass Instanzen, die in der Cloud gehostet werden ( "screenconnect[.]com" und "hostedrmm[.]com") automatisch vom Anbieter gepatcht wurden. Anwendern vor Ort wird jedoch dringend empfohlen, ihre Instanzen mindestens auf Version 23.9.8 zu patchen. ConnectWise hat für dieses Update auf Lizenzbeschränkungen verzichtet, so dass alle Benutzer, auch diejenigen mit abgelaufenen Lizenzen, ihre Instanzen aktualisieren können.

Die US-amerikanische Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat CVE-2024-1709 in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen, mit einer Frist bis zum 29. Februar für US-Bundesbehörden zur Sicherung ihrer Server.

In diesem Blog-Beitrag werden wir uns mit den Details dieser Schwachstellen, der globalen Sichtweise von Censysauf den Stand der Gefährdung und Anfälligkeit und den Abhilfemaßnahmen zum Schutz Ihrer Systeme befassen.

CensysDie Perspektive

Mit Stand vom Dienstag, 27. Februar 2024, haben wir 3.434 potenziell gefährdete IPv4-Hosts identifiziert, die online sind. Diese Zahl spiegelt einen anhaltenden Abwärtstrend gegenüber den mehr als 6.000 gefährdeten Hosts wider, die vor etwas mehr als einer Woche, am 19. Februar, beobachtet wurden. 

 

Abbildung 1. Die Reaktion des Internets auf die jüngsten ScreenConnect-Schwachstellen CVE-2024-1709 und CVE-2024-1708, 19. bis 27. Februar 2024

Die nachstehende Abbildung zeigt eine Zeitrafferkarte mit den Standorten der gefährdeten ScreenConnect-Hosts vom 19. bis 27. Februar.

 

Abbildung 2. Zeitrafferkarte der Reaktion des Internets auf die jüngsten ScreenConnect-Schwachstellen CVE-2024-1709 und CVE-2024-1708, 19. bis 27. Februar 2024 (erstellt mit kepler.gl)

 

Der TCP-Port 8040, der als Standardausgangsport für ScreenConnect dient, ist bei weitem der häufigste Port, auf dem verwundbare Instanzen zu finden sind, gefolgt von 80 und 443. Die Version 19.1.24566 ist die am weitesten verbreitete Version, die wir bei gefährdeten Hosts beobachten.

Die folgenden Diagramme zeigen den aktuellen Stand der damit zusammenhängenden Engagements zum 27. Februar. 

Es ist zu beachten, dass die digitale Präsenz von ScreenConnect hauptsächlich in den Vereinigten Staaten liegt.

 

Abbildung 3. Top-Länder mit exponierten, potenziell gefährdeten ScreenConnect-Hosts, 27. Februar 2024

 

Abbildung 4. Top-Netzwerke mit exponierten, potenziell anfälligen ScreenConnect-Hosts, 27. Februar 2024

Unter den potenziell gefährdeten Hosts scheinen besonders viele in AWS gehostete Instanzen vertreten zu sein (AMAZON-02 und AMAZON-AES).

Leser, die mit den früher veröffentlichten Blogs von Censys Research vertraut sind, werden diese beiden Netzwerke wiedererkennen, die zuvor als Netzwerke mit beobachteter betrügerischen Honigtopf-Aktivitäten und falsch-positiven Daten identifiziert wurden. Zum Zeitpunkt der Erstellung dieses Artikels gibt es keine eindeutigen Beweise für ein ähnliches betrügerisches Verhalten, das in diesen Netzwerken in Verbindung mit der ScreenConnect-Software aktiv stattfindet.

In Anbetracht der Einfachheit und Attraktivität dieses Exploits gehen wir davon aus, dass alle öffentlich zugänglichen, anfälligen ScreenConnect-Instanzen in naher Zukunft höchstwahrscheinlich einem hohen Risiko der Kompromittierung ausgesetzt sind.

Was kann getan werden?

Wenn Sie ScreenConnect vor Ort nutzen, sollten Sie sofort auf mindestens Version 23.9.8 patchen. Siehe die ScreenConnect's offizielle Anleitung zum Upgrade einer Vor-Ort-Installation. Für ScreenConnect-Cloud-Benutzer (gehostet in "screenconnect[.]com" und "hostedrmm[.]com"). Beachten Sie, dass alle ScreenConnect-Benutzer unabhängig vom Ablaufstatus ihrer Lizenz in der Lage sind, ihre Instanzen zu aktualisieren, da ScreenConnect die damit verbundenen Lizenzbeschränkungen aufhebt, um Patches zu erleichtern.

Referenzen:

 

Über den Autor

Himaja Motheram
Sicherheitsforscher
Himaja Motheram ist Sicherheitsforscherin bei Censys und arbeitet an der Beantwortung interessanter Fragen über das Internet anhand von Censys Search Daten.
Lösungen für das Management von Angriffsflächen
Mehr erfahren