ETKİLENEN ÜRÜN:
ConnectWise ScreenConnect
ETKİLENEN VERSİYON:
ScreenConnect 23.9.7 ve önceki sürümler
ConnectWise ScreenConnect Nedir? Ne İçin Kullanılır?
ConnectWise ScreenConnect, uzaktan destek, uzaktan erişim ve uzaktan toplantı çözümleri sunan bir yazılımdır. Bu ürün, IT profesyonelleri ve destek ekipleri tarafından yaygın olarak kullanılmaktadır ve kullanıcıların internet üzerinden herhangi bir cihaza hızlı ve güvenli bir şekilde bağlanmalarını sağlar.
CVE-2024-1709 Güvenlik Açığı Hakkında
CVE NO: CVE-2024-1709
ÖNEM DERECESİ: 10
Bu güvenlik açığında, ScreenConnect’in “SetupWizard.aspx” adlı kurulum sihirbazı da dahil olmak üzere, kimlik doğrulama işleminin tüm erişim yollarının güvence altına alınmadığı belirlenmiştir. Bu durum, özel olarak hazırlanmış bir isteğin kullanılmasıyla, ScreenConnect yazılımının zaten kurulu olduğu durumlarda bile, saldırganların kurulum sihirbazına erişim sağlayıp yeni bir yönetici hesabı oluşturabilmesine olanak tanımaktadır. Bu şekilde oluşturulan yönetici hesabı, saldırganların ScreenConnect kontrolünü ele geçirmesine yol açabilir.
Kurulum sihirbazına erişim sağladıktan sonra, saldırganın ScreenConnect’e erişim kazanmak için yeni kimlik bilgileri girmesi, sisteme geçici bir XML dosyası üzerinden yeni bir kullanıcı veritabanı yazılmasına sebep olacaktır. Bu, alternatif bir yol veya kanal kullanarak kimlik doğrulama mekanizmasının atlanması anlamına gelmektedir.
Bu güvenlik açığı, kimlik doğrulama atlama zayıflığı olarak tanımlanmaktadır ve saldırganların, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılar aracılığıyla gizli verilere erişim sağlaması veya savunmasız sunucularda uzaktan rastgele kod yürütmesi gerçekleştirmesi için potansiyel bir vektör oluşturmaktadır.
CVE-2024-1708 Güvenlik Açığı Hakkında
CVE NO: CVE-2024-1708
ÖNEM DERECESİ: 8.4
ScreenConnect yazılımının “App_Extensions” dizininin köküne dosya yazılmasına izin veren bir yol geçişi güvenlik açığıtespit edilmiştir. Bu açık, yalnızca yüksek ayrıcalıklara sahip saldırganlar tarafından kötüye kullanılabilir bir durumu ifade eder ve yol adlarının, amaçlanan kısıtlı dizin dışında dosyalara erişmeye veya bunları değiştirmeye olanak tanıyacak şekilde sınırlandırılmamasından kaynaklanmaktadır. Bu tür bir istismar, özel olarak hazırlanmış istekler aracılığıyla ve yol geçişi hatasından yararlanarak gerçekleştirilebilir.
Bu güvenlik açığının nedeni, ‘ScreenConnect.Core.dll’ dosyasındaki ZipSlip güvenlik açığına işaret eden kod değişiklikleri sayesinde tespit edilmiştir. ZipSlip, uygulamaların ZIP dosyası içeriklerini ayıklarken dosya çıkarma yolunu düzgün şekilde temizlememesi durumunda ortaya çıkan ve hassas dosyaların üzerine yazılmasına yol açabilecek bir güvenlik açığıdır.
ConnectWise tarafından yapılan güncellemeler, özellikle ScreenConnect klasörü içinde belirlenen alt dizinlerin dışına dosya yazılmasını önleyecek şekilde, ZIP dosyası içeriklerinin ayıklanması sırasında daha katı yol doğrulaması sağlamaktadır. Bu güncelleme, önceki istismarlar aracılığıyla elde edilen yönetici erişimini kullanarak, dizin geçiş dizileri içeren istekler hazırlayıp dosya sisteminde amaçlanan sınırların ötesinde gezinme ve “User.xml” dosyası gibi hassas dosyalara erişme veya bunları değiştirmeye olanak tanıyan güvenlik açığını kapatmıştır. Bu önlemler, ScreenConnect’in güvenliğini önemli ölçüde artırmakta ve benzer güvenlik tehditlerine karşı koruma sağlamaktadır.
Çözüm
Cloud
Partner tarafından yapılması gereken herhangi bir işlem yoktur, “screenconnect.com” cloud veya “hostedrmm.com” adresinde barındırılan ScreenConnect sunucuları sorunu gidermek için güncellenmiştir.
On-premise
Self-hosted veya on-premise partnerlerin yamayı uygulamak için sunucularını derhal 23.9.8 sürümüne güncellemeleri gerekmektedir.
ConnectWise, kritik sorun için 22.4 ile 23.9.7 arasındaki sürümlerin güncellenmiş versiyonlarını da sağlayacağını, ancak ScreenConnect 23.9.8 sürümüne güncelleme yapmalarını şiddetle tavsiye ettiğini açıklamıştır.
Referanslar
https://www.cvedetails.com/vulnerability-list/vendor_id-16764/Connectwise.html
https://www.securityweek.com/connectwise-confirms-screenconnect-flaw-under-active-exploitation/
https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8
https://www.rapid7.com/blog/post/2024/02/20/etr-high-risk-vulnerabilities-in-connectwise-screenconnect/
https://www.bleepingcomputer.com/news/security/connectwise-urges-screenconnect-admins-to-patch-critical-rce-flaw/
https://www.huntress.com/blog/detection-guidance-for-connectwise-cwe-288-2
https://www.huntress.com/blog/a-catastrophe-for-control-understanding-the-screenconnect-authentication-bypass
https://thehackernews.com/2024/02/critical-flaws-found-in-connectwise.html
https://www.bleepingcomputer.com/news/security/screenconnect-critical-bug-now-under-attack-as-exploit-code-emerges/
https://vuldb.com/fr/?id.254412