В данной статье рассказывается о 0-day уязвимости CVE-2024-1709, позволяющей обойти аутентификацию и получить неограниченный доступ к серверам и машинам, которые управляются с помощью ПО удаленного рабочего стола ConnectWise ScreenConnect. Данное ПО повсеместно используется в медицинских и фармацевтических учреждениях США.
Судя по всему, именно эта уязвимость была ответственна за продолжающуюся в данный момент массовую атаку на медицинские и фармацевтические учреждения США, включая взлом систем самой крупной страховой компании в стране United Healthcare, который затронул медицинские записи 85 миллионов пациентов.
Хронология Событий
13 февраля 2024, компания ConnectWise проинформировала своих клиентов об обнаружении уязвимости в ПО ScreenConnect 23.9.7 (и ниже), позволяющей обходить механизм аутентификации. Уязвимости был присвоен идентификатор CVE-2024-1709. Для исправления уязвимости, компания предложила обновить ПО до версии 23.9.8.
Для обновления пользователям необходимо оплатить подписку. Оригинальная лицензия предоставляет доступ к обновлениям в течении одного года.
Уязвимости был присвоен максимальный из возможного рейтинг CVSS (Common Vulnerability Scoring System) 10/10. Для сравнения, уязвимость OpenSSL CVE-2014-0160, известной так же как Heartbleed, в свое время получила рейтинги 5.0 и 7.5.
Согласно CEO исследовательской группы Huntress, уязвимости подвержены десятки тысяч серверов в США, которые контролируют сотни тысяч endpoint'ов.
14 февраля 2024 года, председатель комитета Палаты представителей по разведке Майк Тёрнер, опубликовал заявление, в котором рассказал о новой угрозе национальной безопасности США, не предоставив деталей. Он так же потребовал от администрации президента Байдена деклассифицировать и опубликовать информацию о данной угрозе. Позднее, было сказано что угроза связана с намерениями России использовать атомное оружие в космосе, однако независимых подтверждений этому так и не было опубликовано.
20 февраля 2024 года, агентство кибербезопасности и безопасности инфраструктуры США (CSIA), Федеральное бюро расследований (ФБР), Национальное агентство по борьбе с преступностью (NCA) опубликовали информацию о совместной операции под кодовом названием Cronos против российской хакерской группировки LockBit, специализирующейся на атаках с вымогательством (Ransomware). NCA называет LockBit самой вредоносной кибер преступной группировкой в мире. Были опубликованы имена членов группировки, а так же раскрыты ключи, позволяющие расшифровать файлы, зашифрованные Ransomware от LockBit.
Сайт в dark web, принадлежащий группировке, был взят под контроль и деактивирован.
21 февраля 2024 года, через день после публикации о спец. операции, самая крупная страховая компания в США United Healthcare, опубликовала информацию о том, что её система Change Healthcare, которая содержит медицинские записи 85 миллионов пациентов, а так же является единственным поставщиком отпускаемых по рецепту препаратов для армии США, была скомпрометирована. Государственный департамент предложил вознаграждение $15 миллионов за информацию, которая приведет к поимке членов и лидеров группы LockBit. Независимые источники так же связывают атаку с LockBit и уязвимостью CVS-2024-1709.
24 февраля 2024 года, лидер группировки LockBit, скрывающийся под ником LockBitSupp опубликовал заявление, в котором раскритиковал операцию Cronos и подставил под сомнение её эффективность. По его заявлениям, Деактивированный ранее сайт группировки стал снова доступен. Он так же заявил, что имена, раскрытые в связи с операции Cronos были лишь псевдонимами. LockBitSupp заявил, что ФБР пытаются уничтожить репутацию его и его "организации", которая занимается "пентестами с постоплатой". Он заявил о том, что он продолжит этим заниматься, и его "не остановить".
Описание уязвимости CVE-2024–1709
Системы ConnectWise ScreenConnect используют asp.net для администрирования с помощью веб-браузера. При первоначальной установке, пользователю предлагается открыть страницу Setup Wizard (/SetupWizard.aspx) для создания новой учетной записи и последующей настройки системы. После окончания изначальной настройки, доступ к панели установки отключается и становится недоступен.
Уязвимость заключается в том, что проверка на то, завершена ли изначальная установка, осуществлялась внутри обработчика события OnBeginRequest только если ли адрес указанный в Request.Path , соответствовал строке /SetupWizard.aspx . При совпадении строк, выполнялась дальнейшая проверка на то, завершен ли режим установки, и если режим установки уже завершен, то обработчик возвращал ошибку 403, не позволяя получить доступ к странице Setup Wizard. Однако, если строка Request.Path не совпадает с адресом /SetupWizard.aspx , то проверка не осуществлялась, происходил возврат из функции OnBeginRequest и доступ к запрашиваемой странице был разрешен.
Таким образом, для доступа к Setup Wizard, достаточно всего-лишь обратиться к любому адресу, который начинается с /SetupWizard.aspx, например /SetupWizard.aspx/literallyanything .
Поскольку /SetupWizard.aspx/literallyanything не соответствует строке /SetupWizard.aspx , проверка на то, завершена ли установка, не будет выполнена, и обработчик OnBeginRequest позволит продолжить обработку запроса. Соответственно любой желающий может заново запустить Setup Wizard.
После того, как злоумышленник получает доступ к Setup Wizard, он может создать новую учетную запись администратора, и с помощью функционала расширений (extensions) загрузить любой произвольный код, который будет выполняться на атакуемой машине от системного пользователя.
Выводы
На момент написания данной статьи, тысячи серверов всё еще остаются уязвимыми к CVE-2024-1709, а системы United Health и множество аптек США всё еще не восстановили работу.
Цитата исследователя группы Huntress (Джон Хаммонд):
Странно, потому что теперь наша работа сместилась в сторону того, чтобы не опережать уязвимость, не понимать ее и не делиться информацией, а наблюдать за тем, как горит Интернет, и пытаться отреагировать и исправить все, что в наших силах. Мы наблюдаем, как мир горит.
Ссылки:
Пост на Reddit пользователя Subushie: ссылка
Отчет группы ИБ Huntress: ссылка
