CVE-2024-1709 и массовая атака на медицинские учреждения США
В данной статье рассказывается о 0-day уязвимости CVE-2024–1709, позволяющей обойти аутентификацию и получить неограниченный доступ к серверам и компьютерам, которые управляются с помощью ПО удаленного рабочего стола ConnectWise ScreenConnect. Данное ПО повсеместно используется в медицинских и фармацевтических учреждениях США, и судя по всему, было ответственно за продолжающуюся в данный массовую момент атаку на медицинские и фармацевтические учреждения США, в частности самую большую страховую компанию United Healthcare.
Хронология Событий
13 февраля 2024, компания ConnectWise проинформировала своих клиентов об обнаружении уязвимости в ПО ScreenConnect 23.9.7 (и ниже), позволяющей обходить механизм аутентификации. Уязвимости был присвоен идентификатор CVE-2024–1709. Для исправления уязвимости, компания предложила обновить ПО до версии 23.9.8.
Для обновления пользователям необходимо оплатить подписку. Оригинальная лицензия предоставляет доступ к обновлениям в течении одного года.
Уязвимости был присвоен рейтинг CVSS (Common Vulnerability Scoring System) 10/10. Для сравнения, известной уязвимости OpenSSL CVE-2014–0160, известной так же как Heartbleed, были присвоены рейтинги 5.0 и 7.5.
Согласно CEO исследовательской группы Huntress, уязвимости подвержены десятки тысяч серверов в США, которые контролируют сотни тысяч endpoint’ов.
14 февраля 2024 года, председатель комитета Палаты представителей по разведке Майк Тёрнер, опубликовал заявление, в котором рассказал о новой угрозе безопасности США, не предоставив деталей. Он так же потребовал от администрации президента Байдена классифицировать и опубликовать информацию о данной угрозе. Позднее, было сказано что угроза связана с намерениями России использовать атомное оружие в космосе, однако независимых подтверждений этому так и не было опубликовано.
20 февраля 2024 года, агентство кибербезопасности и безопасности инфраструктуры США (CSIA), Федеральное бюро расследований (ФБР), Национальное агентство по борьбе с преступностью (NCA) опубликовали информацию о совместной операции под кодовом названием Cronos против российской хакерской группировки LockBit, специализирующейся на атаках с вымогательством (Ransomware). NCA называет LockBit самой вредоносной кибер преступной группировкой в мире. Были опубликованы имена членов группировки, а так же раскрыты ключи, позволяющие расшифровать файлы, зашифрованные Ransomware от LockBit.
Сайт в dark web, подконтрольный группировке был взят под контроль и деактивирован.
21 февраля 2024 года, через день после публикации о спец. операции, самая крупная страховая компания в США United Healthcare, опубликовала информацию о том, что её система Change Healthcare, которая содержит медицинские записи 85 миллионов пациентов, а так же является единственным провайдером отпускаемых по рецепту лекарств для армии США, была скомпрометирована. Государственный департамент предложил вознаграждение $15 миллионов за информацию, которая приведет к поимке членов и лидеров группы LockBit. Независимые источники так же связывают атаку с LockBit и уязвимостью CVS-2024–1709.
24 февраля 2024 года, лидер группировки LockBit, скрывающийся под ником LockBitSupp опубликовал заявление, в котором раскритиковал операцию Cronos и подставил под сомнение её эффективность. По его заявлениям, Деактивированный ранее сайт группировки стал снова доступен. Он так же заявил, что имена, раскрытые в связи с операции Cronos были лишь псевдонимами. LockBitSupp заявил, что ФБР пытаются уничтожить репутацию его и его «организации», которая занимается «пентестами с постоплатой». Он заявил о том, что он продолжит этим заниматься, и его «не остановить».
Описание уязвимости CVE-2024–1709
Системы ConnectWise ScreenConnect используют asp.net для администрирования с помощью веб-браузера. При первоначальной установке, пользователю предлагается открыть страницу Setup Wizard (/SetupWizard.aspx) для создания новой учетной записи и последующей настройке системы. После окончания изначальной настройки, доступ к панели установке отключается и становиться недоступен.
Уязвимость заключается в том, что проверка на то, завершена ли изначальная установка, осуществлялась внутри обработчика события OnBeginRequest только если ли адрес указанный в Request.Path, соответствовал строке /SetupWizard.aspx . При совпадении строк, выполнялась дальнейшая проверка на то, завершен ли режим установки, и если режим установки уже завершен, то обработчик возвращал ошибку 403, не позволяя получить доступ к странице Setup Wizard. Однако, если строка Request.Path не совпадает с адресом /SetupWizard.aspx, то проверка не осуществлялась, происходил возврат из функции OnBeginRequest и доступ к запрашиваемой странице был разрешен.
Таким образом, для доступа к Setup Wizard, достаточно обратиться к любому адресу, который начинается с /SetupWizard.aspx, например /SetupWizard.aspx/literallyanything .
Поскольку /SetupWizard.aspx/literallyanything не соответствует строке /SetupWizard.aspx, проверка на то, завершена ли установка, не будет выполнена, и обработчик OnBeginRequest позволит обратиться и любой желающий может заного запустить Setup Wizard.
После того, как злоумышленник получает доступ к Setup Wizard, он может создать новую учетную запись администратора, и с помощью функционала Extensions загрузить любой произвольный код, который будет выполняться на атакуемой машине от системного пользователя.
Исправление уязвимости CVE-2024–1709 добавляет проверку context.Handler к сравнению строк. Источник: Huntress
Выводы
На момент написания данной статьи, тысячи серверов всё еще остаются уязвимыми к CVE-2024–1709, а системы United Health и множество аптек США всё еще не восстановили работу.
Цитата исследователя группы Huntress Джон Хаммонд:
Странно, потому что теперь наша работа сместилась в сторону того, чтобы не опережать уязвимость, не понимать ее и не делиться информацией, а наблюдать за тем, как горит Интернет, и пытаться отреагировать и исправить все, что в наших силах. Мы наблюдаем, как мир горит.
Ссылки:
Пост на Reddit пользователя Subushie: ссылка
Отчет группы ИБ Huntress: ссылка
