Критическая уязвимость в системе безопасности дает злоумышленникам возможность скомпрометировать тысячи систем в местах расположения клиентов управляемого поставщика услуг компании ConnectWise.
Компания ConnectWise устранила критическую уязвимость удаленного выполнения кода (RCE) в своих технологиях ConnectWise Recover и R1Soft server backup manager, которая может дать злоумышленникам возможность скомпрометировать тысячи компаний - поставщиков управляемых услуг (MSP) - и, в свою очередь, их последующих клиентов.
В пятничном предупреждении ConnectWise сообщила, что выпустила автоматическое обновление для облачных и клиентских экземпляров ConnectWise Server Backup Manager (SBM), а также призвала клиентов менеджера резервного копирования серверов R1Soft немедленно обновиться до новой версии SBM v6.16.4, выпущенной в пятницу.
Серьезный баг.
«Мы проинформировали наших клиентов об исправлении и призвали тех, у кого есть локальные экземпляры затронутого продукта, установить патч как можно скорее» - сообщает Патрик Беггс, CISO компании ConnectWise, в комментариях изданию Dark Reading. Для большинства организаций, использующих ConnectWise Recover, на данный момент не требуется никаких дополнительных действий для защиты от уязвимости, но «R1Soft является самоуправляемым; мы рекомендуем этим клиентам быстро установить патчи» - заявил он.
ConnectWise заявила, что обнаружила ошибку после того, как поставщик систем безопасности Huntress проинформировал компанию о проблеме и показал код доказательства концепции, демонстрирующий, как злоумышленники могут использовать уязвимость для получения полного контроля над затронутыми системами. Компания описала ошибку как «неправильную нейтрализацию специальных элементов в выходных данных, используемых последующим компонентом». Уязвимость существует в ConnectWise Recover v2.9.7 и более ранних версиях и R1Sof SBM v6.16.3 и более ранних версиях.
В своем блоге от 31 октября исследователи из Huntress описали проблему как связанную с уязвимостью обхода аутентификации (CVE-2022-36537) в предыдущей версии библиотеки ZK Java, поставляемой с технологией менеджера резервного копирования серверов ConnectWise. Исследователь из немецкой компании Code White GmbH, специализирующейся на безопасности, первым обнаружил уязвимость в библиотеке ZK и сообщил о ней разработчикам фреймворка в мае 2022 года. Другой исследователь из той же компании обнаружил, что технология R1Soft SBM компании ConnectWise использует уязвимую версию библиотеки ZK, и сообщил об этом компании ConnectWise, говорится в сообщении Huntress в блоге. Когда компания не ответила в течение 90 дней, исследователь сообщил в Twitter несколько подробностей о том, как можно использовать этот недостаток.
Исследователи Huntress использовали информацию из твита, чтобы воспроизвести уязвимость и усовершенствовать доказательство концепции. Они обнаружили, что могут использовать уязвимость для утечки закрытых ключей сервера, информации о лицензиях на программное обеспечение, файлов конфигурации системы и в конечном итоге получить удаленное выполнение кода в контексте суперпользователя системы.
Исследователи Huntresses обнаружили, что они могут получить выполнение кода не только на уязвимых системах ConnectWise в точках MSP, но и на всех зарегистрированных конечных точках. Сканирование Shodan выявило более 5 000 уязвимых экземпляров менеджера резервного копирования сервера ConnectWise, которые были уязвимы для эксплойтов. Учитывая, что большинство этих систем находилось в точках MSP, фактическое число пострадавших организаций, скорее всего, значительно выше, заявили в Huntress.
Классическая угроза цепочке поставок программного обеспечения.
Калеб Стюарт, исследователь безопасности в Huntress, сообщает, что цепочка эксплойтов, которую он и трио других исследователей разработали, включала три основных компонента: оригинальный обход аутентификации в библиотеке ZK, RCE на SBM и RCE на подключенных клиентах.
По словам Стюарта, исследователи потратили около трех дней на воспроизведение оригинальной уязвимости, а затем на обратную разработку приложения R1Soft, чтобы его можно было использовать в злонамеренных целях. Эксплуатация уязвимости была сложной, говорит Стюарт. «Но ее можно было найти и использовать в течение нескольких дней, если знать, что искать».
Эта уязвимость - еще один пример того, почему разработчики и конечные потребители должны быть в курсе рекомендаций по безопасности для всего программного обеспечения в своей среде, говорит Стюарт. "По сути, это уязвимость цепочки поставок - клиент покупает R1Soft SBM, который поставляет ZK, который уязвим", - говорит он. «Как только серьезность проблемы стала очевидной, я полагаю ConnectWise проделала большую работу, быстро выпустив исправление».
Джон Хаммонд, старший исследователь безопасности в Huntress и член команды, которая анализировала дефект, говорит, что разработанная ими цепочка атак может иметь широкое воздействие. «От обхода аутентификации до полной компрометации, не только одной конечной точки, но и множества других, это действительно «point-and-shoot» эксплойт с потенциалом широкомасштабного воздействия» - заявляет он.
Беггс из ConnectWise не ответил прямо на вопрос издания Dark Reading о том, почему компания не отреагировала на первоначальное раскрытие дефекта исследователем из Code White. Но одной из причин мог быть тот факт, что исследователь не сообщил об этом через обычный канал компании для раскрытия ошибок и проблем безопасности.
«Мы уже давно заявляем, что наш Центр доверия является наиболее эффективным каналом передачи информации о проблемах безопасности» - заявил он. «Запросы, переданные по другим каналам, не всегда получают то внимание, которого заслуживают».
«В данном случае» - добавляет Беггс – «Huntress проделала восхитительную работу, продемонстрировав, насколько опасной могла быть эта потенциальная уязвимость, ответственно отнеслась к проблеме, показав ее нам напрямую, и предоставила нам время для обновления наших продуктов».
Источник: https://www.darkreading.com