Att observera ett kritiskt säkerhetsfel i sina produkter, ConnectWise släppte en patchuppdatering för sin Recover and R1Soft Server Backup Manager (SBM) på fredagen.
Felet berodde på en svaghet i injektionen och kallas för en högprioriterad fråga. Med tusentals R1Soft-servrar exponerade för internet, varnar ConnectWise för att hackare sannolikt kan utnyttja det för sin illvilliga sak.
Säkerhetsbugg i ConnectWise MSP
ConnectWise, mjukvarutillverkaren av Recover som gör det möjligt för systemadministratörer att hantera obevakade datorer på distans, har en kritisk säkerhetsbugg som kan tillåta en angripare att exekvera skadlig kod på distans.
Detsamma har gjorts i ConnectWise R1Soft Server Backup Manager (SBM) säkra säkerhetskopieringslösning, som används ofta för att spara viktig data. Felet upptäcktes av Code Whites säkerhetsforskare Florian Hauser och senare detaljerad av Huntress Labs säkerhetsforskare John Hammond och Caleb Stewart.
I sin rapport, forskarna varnade för hackare som driver ransomware till sårbara R1Soft-servrar som exponeras på Internet om de kan utnyttja sårbarheten framgångsrikt. Att utföra en Shodan-skanning angående detta visade att över 4 800 R1Soft-servrar är internetexponerade.
Whelp, hade inte förväntat sig att denna ConnectWise RCE skulle bli offentlig idag. Antar att vi publicerar på måndag hur @HuntressLabs gick från en forskares tweet till möjligheten att driva ransomware genom ~5 000 R1Soft-servrar som är exponerade på Shodan. #staytuned https://t.co/HroDdZ5NYI pic.twitter.com/mHLu6zpwic
— Kyle Hanslovan (@KyleHanslovan) 28 oktober 2022
Detta kan bli lika värre som Kaseyas supply chain-attack, med tanke på att ConnectWise-produkter används för fjärrstyrning av arbete. ConnectWise beskrev detta problem som ett i dess rådgivande.
Berörda versioner inkluderar ConnectWise Recover 2.9.7 eller tidigare och R1Soft SBM v6.16.3 eller tidigare. Medan företaget automatiskt har uppdaterat ConnectWise Recover SBM till v2.9.9 (patchad version), måste R1Soft-användarna agera manuellt.
Plåstret tappade precis så jag antar att majoriteten av dem fortfarande är sårbara. Jag tror inte att det finns någon automatisk uppdateringsfunktion.
— Kyle Hanslovan (@KyleHanslovan) 28 oktober 2022
ConnectWise nämnde v6.16.4 som den senaste korrigerade versionen av R1Softs serverbackuphanteraresom släpptes igår. Följ R1Soft uppgraderingswiki för mer information.
Även om företaget reagerade på denna kritiska bugg omedelbart, är det olyckligt att det gjorde patchen tillgänglig på helgen. Med de flesta av IT-teamen på semester på helgerna får hackare gott om tid att sätta igång sina attacker med rätt utnyttjande.