Des détails techniques et des exploits de validation de principe sont disponibles pour les deux vulnérabilités ConnectWise divulguées plus tôt cette semaine pour ScreenConnect, son logiciel de bureau à distance et d’accès.
Un jour après que le fournisseur a publié les problèmes de sécurité, les attaquants ont commencé à les exploiter dans des attaques.
CISA a attribué des identifiants CVE-2024-1708 et CVE-2024 – 1709 aux deux problèmes de sécurité, que le fournisseur a évalués comme un contournement d’authentification de gravité maximale et une faille de traversée de chemin de gravité élevée qui affectent les serveurs ScreenConnect 23.9.7 et versions antérieures.
ConnectWise a exhorté les administrateurs à mettre à jour immédiatement les serveurs sur site vers la version 23.9.8 pour atténuer le risque et a précisé que ceux qui ont des instances sur screenconnect.com nuage ou hostedrmm.com ont été sécurisés.
Les auteurs de menaces ont compromis plusieurs comptes ScreenConnect, comme l’a confirmé l’entreprise dans une mise à jour de son avis, sur la base des enquêtes de réponse aux incidents.
La société de cybersécurité Huntress a analysé les vulnérabilités et avertit que le développement d’un exploit est une tâche triviale.
La société a également déclaré que lundi, la plate-forme Censys montrait plus de 8 800 serveurs ScreenConnect vulnérables exposés. Une évaluation de la Fondation ShadowServer a noté qu’hier, le nombre était d’environ 3 800.
Les premiers exploits fonctionnels sont apparus rapidement après que ConnectWise a annoncé les deux vulnérabilités et d’autres continuent d’être publiés. Cela a incité Huntress à partager son analyse détaillée et à montrer à quel point il est facile de créer un exploit, dans l’espoir que les entreprises progresseraient plus rapidement avec les étapes de correction.
Facile à repérer et à exploiter
Huntress a localisé les deux failles en examinant les modifications de code introduites par le fournisseur avec le correctif.
Pour la première faille, ils ont trouvé une nouvelle vérification dans un fichier texte indiquant que le processus d’authentification n’était pas sécurisé contre tous les chemins d’accès, y compris l’assistant de configuration (‘SetupWizard.aspx’).
Cela a mis en évidence la possibilité que dans les versions vulnérables, une requête spécialement conçue puisse permettre aux utilisateurs d’utiliser l’assistant de configuration même lorsque ScreenConnect avait déjà été configuré.
Étant donné que l’assistant de configuration l’autorisait, un utilisateur pouvait créer un nouveau compte administrateur et l’utiliser pour prendre le contrôle de l’instance ScreenConnect.
Il est possible de tirer parti du bogue de traversée de chemin à l’aide d’une autre requête spécialement conçue qui permet d’accéder ou de modifier des fichiers en dehors du répertoire restreint prévu.
La faille a été localisée en remarquant des changements de code sur le ScreenConnect.Noyau.fichier dll’, pointant vers ZipSlip, une vulnérabilité qui se produit lorsque les applications ne nettoient pas correctement le chemin d’extraction des fichiers, ce qui pourrait entraîner l’écrasement de fichiers sensibles.
Les mises à jour de ConnectWise introduisent une validation de chemin plus stricte lors de l’extraction du contenu du fichier ZIP, en particulier pour empêcher l’écriture de fichiers en dehors des sous-répertoires désignés dans le dossier de ScreenConnect.
Avec l’accès administratif de l’exploit précédent, il est possible d’accéder ou de manipuler l’utilisateur.fichier xml et autres fichiers sensibles en élaborant des requêtes qui incluent des séquences de traversée de répertoires pour naviguer dans le système de fichiers au-delà des limites prévues.
Finalement, l’attaquant peut télécharger une charge utile, telle qu’un script ou un exécutable malveillant, en dehors du sous-répertoire ScreenConnect.
Huntress a partagé des indicateurs de compromission (IOC) et des conseils de détection analytique basés sur les artefacts créés lorsque les failles ci-dessus sont exploitées.
Il est fortement recommandé aux administrateurs qui n’ont pas appliqué les mises à jour de sécurité d’utiliser les détections pour rechercher les accès non autorisés.