Vulnerabilità critiche su ConnectWise ScreenConnect sfruttate in the wild

PROTO: N240221

CERT Yoroi informa che ConnectWise ha rilasciato degli aggiornamenti di sicurezza per due vulnerabilità non ancora identificate tramite CVE e critiche che risultano sfruttate in the wild e con un POC esistente (Privato per la prima e pubblico per la seconda).

ConnectWise Control è un'applicazione software per desktop remoto self-hosted che offre funzionalità di supporto remoto, accesso remoto e riunione remota. ConnectWise Control è stato sviluppato da Elsinore Technologies nel 2008 con il nome di ScreenConnect.

ConnectWise ha avvertito i clienti di applicare immediatamente una patch ai propri server ScreenConnect, nelle versioni ScreenConnect 23.9.7 e precedenti, contro due falle di massima gravità che possono essere utilizzate in attacchi di esecuzione di codice remoto (RCE).

Le due vulnerabilità, se l’exploit viene eseguito correttamente, potrebbero consentire l'esecuzione di codice remoto o l'impatto diretto su dati riservati o sistemi critici, motivi per il quale entrambe le vulnerabilità richiedono attenzione massima.

Nello specifico, la prima vulnerabilità è di tipo “authentication bypass” e viene identificata dalla CWE-288 che descrive la famiglia di vulnerabilità in cui un prodotto richiede l'autenticazione, ma il prodotto stesso ha un percorso o un canale alternativo, che gli utenti malintenzionati possono sfruttare per scopi differenti, che non richiede l'autenticazione. La seconda invece appartiene alla famiglia della CWE-22, ovvero la “path traversal” in cui un prodotto che utilizza un input esterno per costruire un nome di percorso destinato a identificare un file o una directory che si trova sotto una directory madre, non neutralizza correttamente i caratteri speciali all'interno del nome di percorso che possono far sì che il nome di percorso si risolva in un path effettivo che va al di fuori della directory di destinazione.

I ricercatori di sicurezza di Huntress hanno riferito oggi di aver già creato un exploit proof-of-concept (PoC) che può essere utilizzato per bypassare l'autenticazione sui server ScreenConnect privi di patch, nel mentre, nel mentre il vendor rilascia un update nel securitu advisor ufficiale.

Inoltre, si rileva anche un’evidenza semi-pubblica dei ricercatori di Horizon3 che condividono qualche dettaglio in merito al loro POC della vulnerabilità più grave.

Il nostro team CERT individua in rete un POC relativo alla seconda vulnerabilità, scritto in python, in un noto canale underground: 

Hunter ha aggiunto che una ricerca sulla piattaforma di gestione dell'esposizione Censys ha permesso di trovare più di 8.800 server vulnerabili agli attacchi. 

Shodan tiene traccia anche di oltre 7.600 server ScreenConnect, con solo 160 che attualmente eseguono la versione ScreenConnect 23.9.8 patchata. 

La gravità in merito a queste vulnerabilità viene incrementata dal fatto che il mese scorso CISA, NSA e MD-ISAC in un bollettino congiunto, indicano la tendenza di threat actor alla compromissione dei sistemi RMM (remote monitoring and management), categoria in cui rientra la tecnologia ConnectWise del presente bollettino. 

Il vendor specifica la differenza di mitigazione fra le soluzioni cloud ed on prem del prodotto: 

• Cloud: Tutti i “ScreenConnect” server hostati nei domini cloud “screenconnect.com” e “hostedrmm.com”, sono già stati patchati in quanto lo spazio cloud viene gestito dal vendor stesso, il che permette l’update in modo sistematico ed automatico senza l’interazione del cliente. 
• On-premise: Il vendor suggerisce ConnectWise fornisce versioni aggiornate delle release da 22.4 a 23.9.7 per risolvere il problema critico, ma raccomanda vivamente ai partner di aggiornare alla versione 23.9.8 di ScreenConnect.  

Viene rilasciata anche una guida su come fare upgrade del proprio ScreenConnect server in soluzioni on prem , e il link per scaricare la patch. 

Si consiglia inoltre di utilizzare misure di sicurezza aggiuntive: come misura proattiva, sarebbe prudente monitorare gli IP in accesso e le loro azioni, in modo tale da capire se il tutto possa risultare legittimo. 

A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanante e successivamente il patching alle versioni suggerite dal vendor. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index 

RIFERIMENTI: 

• https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8  
• https://www.bleepingcomputer.com/news/security/connectwise-urges-screenconnect-admins-to-patch-critical-rce-flaw/  
• https://securityonline.info/critical-security-vulnerabilities-in-connectwise-screenconnect-demand-immediate-patching/  
• https://thehackernews.com/2024/02/critical-flaws-found-in-connectwise.html  
• https://www.securityweek.com/connectwise-rushes-to-patch-critical-vulns-in-remote-access-tool/  
• https://www.bleepingcomputer.com/news/security/cisa-federal-agencies-hacked-using-legitimate-remote-desktop-tools/  

IOC: 

• 155.133.5.15 
• 155.133.5.14 
• 118.69.65.60