0
0
O ConnectWise corrigiu uma vulnerabilidade crítica de execução remota de código (RCE) em suas tecnologias de gerenciamento de backup de servidor ConnectWise Recover e R1Soft que podem dar aos invasores uma maneira de comprometer milhares de clientes de provedores de serviços gerenciados (MSP) da empresa – e, por sua vez, seus clientes downstream .
Em um alerta na sexta-feira, a ConnectWise disse que havia lançado uma atualização automática para as instâncias de nuvem e cliente do ConnectWise Server Backup Manager (SBM) e instou os clientes do gerenciador de backup do servidor R1Soft a atualizar imediatamente para o novo SBM v6.16.4. foi lançado na sexta-feira.
Bug grave
“Informamos nossos [clientes] sobre a correção e incentivamos aqueles com instâncias locais do produto afetado a instalar o patch o mais rápido possível”, disse Patrick Beggs, CISO da ConnectWise, em comentários enviados ao Dark Reading. Para a maioria das organizações que usam o ConnectWise Recover, nenhuma ação adicional é necessária neste momento para se proteger contra a vulnerabilidade, mas “o R1Soft é autogerenciado; incentivamos esses [clientes] a aplicar o patch rapidamente”, diz ele.
A ConnectWise disse que descobriu o bug depois que o fornecedor de segurança Huntress informou a empresa sobre o problema e mostrou um código de prova de conceito demonstrando como os invasores podem explorar a vulnerabilidade para assumir o controle total dos sistemas afetados. A empresa descreveu o bug como envolvendo “neutralização inadequada de elementos especiais na saída usados por um componente downstream”. A vulnerabilidade existe no ConnectWise Recover v2.9.7 e versões anteriores e R1Sof SBM v6.16.3 e versões anteriores.
Em uma postagem no blog de 31 de outubro, pesquisadores da Huntress descreveram o problema como vinculado a uma vulnerabilidade de desvio de autenticação ( CVE-2022-36537 ) em uma versão anterior da biblioteca ZK Java, empacotada com a tecnologia de gerenciamento de backup de servidor do ConnectWise. Um pesquisador do fornecedor de segurança Code White GmbH, com sede na Alemanha, foi o primeiro a descobrir a vulnerabilidade na biblioteca ZK e denunciá-la aos mantenedores da estrutura em maio de 2022. Outro pesquisador da mesma empresa descobriu que a tecnologia R1Soft SBM da ConnectWise estava usando o versão vulnerável da biblioteca ZK e relatou o problema ao ConnectWise, disse Huntress em sua postagem no blog. Quando a empresa não respondeu em 90 dias, o pesquisador provocou alguns detalhes sobre como a falha poderia ser explorada, no Twitter.
Os pesquisadores da Huntress usaram as informações do tweet para replicar a vulnerabilidade e refinar a prova de conceito. Eles descobriram que poderiam aproveitar a vulnerabilidade para vazar chaves privadas do servidor, informações de licença de software, arquivos de configuração do sistema e, eventualmente, obter execução remota de código no contexto de um superusuário do sistema.
Os pesquisadores da Huntresses descobriram que ganhariam execução de código não apenas em sistemas ConnectWise vulneráveis em locais MSP, mas em todos os terminais registrados downstream. Uma varredura Shodan mostrou mais de 5.000 instâncias expostas do gerenciador de backup do servidor ConnectWise que eram vulneráveis a explorações. Considerando que a maioria desses sistemas estava em locais MSP, o número real de organizações afetadas provavelmente é significativamente maior, disse Huntress.
Ameaça Clássica da Cadeia de Suprimentos de Software
Caleb Stewart, pesquisador de segurança da Huntress, diz que a cadeia de exploração que ele e um trio de outros pesquisadores desenvolveram e relataram ao ConnectWise envolveu três componentes principais: o bypass de autenticação original na biblioteca ZK, RCE no SBM e RCE em clientes conectados .
De acordo com Stewart, os pesquisadores passaram cerca de três dias replicando a vulnerabilidade original e, em seguida, fazendo engenharia reversa do aplicativo R1Soft para que pudesse ser usado de forma maliciosa. Explorar a vulnerabilidade foi complicado, diz Stewart. “Mas [era] viável que alguém encontrasse e explorasse em questão de dias se soubesse o que estava procurando.”
A vulnerabilidade é outro exemplo de por que desenvolvedores e clientes finais precisam estar cientes dos avisos de segurança para todos os softwares em seu ambiente, diz Stewart. “Esta é fundamentalmente uma vulnerabilidade da cadeia de suprimentos – o cliente compra o R1Soft SBM, que agrupa o ZK, que é vulnerável”, diz ele. “Uma vez que a gravidade ficou evidente, acho que o ConnectWise fez um ótimo trabalho ao lançar um patch rapidamente.”
John Hammond , pesquisador sênior de segurança da Huntress e parte da equipe que analisou a falha, diz que a cadeia de ataque armada que eles desenvolveram pode ter um grande impacto. “Desde um desvio de autenticação até o comprometimento total, não apenas em um endpoint, mas em um múltiplo em massa, esta é realmente uma exploração de ‘apontar e disparar’ com potencial para efeitos generalizados”, diz ele.
Beggs, do ConnectWise, não respondeu diretamente a uma pergunta do Dark Reading sobre por que a empresa não respondeu à divulgação original da falha pelo pesquisador do Code White. Mas um problema pode ter sido o fato de que o pesquisador não o divulgou pelo canal usual da empresa para enviar divulgações de bugs e preocupações de segurança.
“Há muito tempo garantimos que nossa Central de Confiabilidade é o canal mais eficaz para enviar questões de segurança”, diz ele. As consultas enviadas por outros canais nem sempre recebem a atenção que merecem, observa Beggs.
“Neste caso”, acrescenta ele, “Huntress fez um trabalho admirável ao demonstrar o quão perigosa essa potencial vulnerabilidade poderia ter sido, tratou o problema com responsabilidade, mostrando-o diretamente e nos deu tempo para atualizar nossos produtos”.
FONTE: DARK READING