bencede
New member
ConnectWise ScreenConnect uzak masaüstü yazılımındaki kritik bir güvenlik açığı artık siber suçlular tarafından kötü amaçlı yazılım dağıtmak için sistematik olarak kullanılıyor. Bu hafta ortasında hataya yönelik kullanımı kolay bir “kavram kanıtı” ortaya çıktıktan sonra, LockBit ücretsiz sürücüleri artık çoğunluğun üzerine atladı.
Duyuru
ScreenConnect'teki güvenlik boşlukları yapılandırma rutininde yatmaktadır: Bu URL'ler doğru şekilde işlenmediğinden, yazılımın önceden kurulmuş bir örneğini teslim durumuna geri yüklemek ve örneğin ek yönetici kullanıcılar oluşturmak için yalnızca birkaç karakter yeterlidir. Saldırının uzaktan da çalışması nedeniyle CVE ID CVE-2024-1709'a sahip güvenlik açığının CVSS puanı da 10/10 oldu. Üretici bu açığı 23.9.8 sürümünde kapattı, ScreenConnect Cloud müşterilerinin hiçbir konuda endişelenmesine gerek yok.
Güvenlik kusurunu analiz eden güvenlik uzmanları bunun aslında ne kadar önemsiz olduğunu gösterdi: Bir saldırgan URL yerine arama yapıyor /SetupWizard.aspx biraz değiştirilmiş adresle kurulum rutini /SetupWizard.aspx/irgendwas kurulum sürecini engellemek artık etkili değildir ve yetkisiz kişiler kontrolü elinde tutar. PHP tabanlı Typo3 içerik yönetim sistemi gibi diğer yazılımlar da geçmişte URL'nin “Yol Bilgisi” olarak adlandırılan eklerinin işlenmesinde hatalarla karşılaşmıştı.
Net bir resim: Son günlerde ConnectWise ScreenConnect'e yönelik saldırı girişimleri çoğaldı
(Resim: Sophos X-Ops)
Suçlular artık bu fırsattan sistematik olarak yararlanıyor: Sophos'un belirttiği gibi, Github'da çalışan bir açıktan yararlanmanın yanı sıra savunmasız ScreenConnect kurulumlarına karşı da çeşitli saldırılar gerçekleştiriliyor. Bu hafta medyada öne çıkan ve çokça yer alan bir isim var: LockBit. Ancak Sophos uzmanlarının açıkladığı gibi, bu muhtemelen yeni fidye yazılımı çetesi değil, bir veya daha fazla taklitçiden kaynaklanıyor. Bunlar, mevcut 3.0 sürümünü değil, yıllar önce bir veri sızıntısında ortaya çıkan Lockbit 2.0'ı kullanıyor.
Uzaktan bakım çözümleri yalnızca dolandırıcılığa değil aynı zamanda kurumsal ağlara yönelik saldırılara da açılan bir kapıdır. Büyük ScreenConnect ihlalinden önce AnyDesk, geçen Aralık ayında meydana geldiği bildirilen bir siber saldırının kurbanıydı. BSI ayrıca kazayla ilgili bulgularını iki hafta önce yayınladı.
Ancak açık kaynak alternatifi RustDesk, son zamanlarda RustDesk kurulumunda yer alan gizemli bir dijital sertifikayı eleştiren endişeli kullanıcılar ve yöneticilerden gelen sorularla karşı karşıya kaldı. Proje ekibine göre test amaçlı kullanılan sertifika, mevcut 1.2.3-1 sürümüyle artık mevcut değil.
(cku)
Haberin Sonu
Duyuru
ScreenConnect'teki güvenlik boşlukları yapılandırma rutininde yatmaktadır: Bu URL'ler doğru şekilde işlenmediğinden, yazılımın önceden kurulmuş bir örneğini teslim durumuna geri yüklemek ve örneğin ek yönetici kullanıcılar oluşturmak için yalnızca birkaç karakter yeterlidir. Saldırının uzaktan da çalışması nedeniyle CVE ID CVE-2024-1709'a sahip güvenlik açığının CVSS puanı da 10/10 oldu. Üretici bu açığı 23.9.8 sürümünde kapattı, ScreenConnect Cloud müşterilerinin hiçbir konuda endişelenmesine gerek yok.
Güvenlik kusurunu analiz eden güvenlik uzmanları bunun aslında ne kadar önemsiz olduğunu gösterdi: Bir saldırgan URL yerine arama yapıyor /SetupWizard.aspx biraz değiştirilmiş adresle kurulum rutini /SetupWizard.aspx/irgendwas kurulum sürecini engellemek artık etkili değildir ve yetkisiz kişiler kontrolü elinde tutar. PHP tabanlı Typo3 içerik yönetim sistemi gibi diğer yazılımlar da geçmişte URL'nin “Yol Bilgisi” olarak adlandırılan eklerinin işlenmesinde hatalarla karşılaşmıştı.
Net bir resim: Son günlerde ConnectWise ScreenConnect'e yönelik saldırı girişimleri çoğaldı
(Resim: Sophos X-Ops)
Suçlular artık bu fırsattan sistematik olarak yararlanıyor: Sophos'un belirttiği gibi, Github'da çalışan bir açıktan yararlanmanın yanı sıra savunmasız ScreenConnect kurulumlarına karşı da çeşitli saldırılar gerçekleştiriliyor. Bu hafta medyada öne çıkan ve çokça yer alan bir isim var: LockBit. Ancak Sophos uzmanlarının açıkladığı gibi, bu muhtemelen yeni fidye yazılımı çetesi değil, bir veya daha fazla taklitçiden kaynaklanıyor. Bunlar, mevcut 3.0 sürümünü değil, yıllar önce bir veri sızıntısında ortaya çıkan Lockbit 2.0'ı kullanıyor.
Uzaktan bakım çözümleri yalnızca dolandırıcılığa değil aynı zamanda kurumsal ağlara yönelik saldırılara da açılan bir kapıdır. Büyük ScreenConnect ihlalinden önce AnyDesk, geçen Aralık ayında meydana geldiği bildirilen bir siber saldırının kurbanıydı. BSI ayrıca kazayla ilgili bulgularını iki hafta önce yayınladı.
Ancak açık kaynak alternatifi RustDesk, son zamanlarda RustDesk kurulumunda yer alan gizemli bir dijital sertifikayı eleştiren endişeli kullanıcılar ve yöneticilerden gelen sorularla karşı karşıya kaldı. Proje ekibine göre test amaçlı kullanılan sertifika, mevcut 1.2.3-1 sürümüyle artık mevcut değil.
(cku)
Haberin Sonu