Ernstige ConnectWise-kwetsbaarheid creëert supply chain-risico's

Er is een nieuwe ernstige beveiligingskwetsbaarheid gemeld in het softwareplatform voor IT-servicebeheer ConnectWise. De kwetsbaarheid treft de Recover en R1Soft Server Backup Manager van het bedrijf (SBM).

De kwetsbaarheid is beschreven als "Onjuiste neutralisatie van speciale elementen in uitvoer die wordt gebruikt door een stroomafwaartse component",” en is van invloed op de volgende productversies:

• ConnectWise herstellen: Recover v2.9.7 en eerdere versies worden beïnvloed.
• R1Soft: Dit heeft gevolgen voor SBM v6.16.3 en eerdere versies.

Het beveiligingslek houdt verband met een ander probleem met het omzeilen van upstream-authenticatie in de
ZK open source Ajax webapplicatie framework, bekend als CVE-2022-36537, die in mei werd behandeld 2022.

Cyberbeveiligingsbedrijf Huntress heeft een Proof-of-Concept-exploit gemaakt, waarmee de impact en ernst ervan wordt aangetoond. Als uitgebuit, de kwetsbaarheid kan leiden tot::

• Authenticatie omzeilen;
• Een JDBC-databasestuurprogramma met achterdeur uploaden om uit te voeren uitvoering van code aanvallen;
• De REST API gebruiken om opdrachten te activeren voor geregistreerde agenten om Lockbit te pushen 3.0 ransomware naar alle downstream-eindpunten.

“We hebben nauw samengewerkt met ConnectWise om hen te informeren over deze problemen en ze hebben een patch uitgebracht voor Server Backup Manager SE-software. Huntress heeft hun patch gevalideerd en bevestigt dat deze effectief is tegen het stoppen van onze eigen proof-of-concept (POC) exploiteren,” de onderzoekers opgemerkt.

Hoe kan de ConnectWise-kwetsbaarheid worden verholpen??

Betrokken ConnectWise Recover SBM's zijn automatisch bijgewerkt naar de nieuwste versie van Recover (v2.9.9), het bedrijf merkte op:. Wat betreft R1Soft, betrokken partijen moeten de serverback-upmanager upgraden naar SBM v6.16.4, uitgebracht in oktober 28, 2022 met behulp van de R1Soft upgrade-wiki.