Verstehen von CVE-2024-1709 und CVE-2024-1708 - Der Authentifizierungs-Bypass, der die Remote-Zugriffsicherheit erschütterte

Verständnis von CVE-2024-1709 und CVE-2024-1708 - Der Authentifizierungs-Bypass, der die Remote-Zugriffsicherheit erschütterte

Im Februar 2024 erlebte die Cybersicherheitsgemeinschaft eine der kritischsten Schwachstellenmeldungen des Jahres, als ConnectWise zwei schwere Sicherheitslücken in ihrer ScreenConnect-Remote-Desktop-Software in Versionen 23.9.7 und früher bekannt gab. Diese Schwachstellen, bezeichnet als CVE-2024-1709 und CVE-2024-1708, stellten eine perfekte Kombination von Sicherheitslücken dar, die Ransomware-Gruppen schnell ausnutzten, um verheerende Angriffe durchzuführen.

Warum wurde CVE-2024-1709 mit der Note 10 bewertet?

CVE-2024-1709 erhielt die maximale CVSS-Schwerebewertung von 10.0, was sie zu einer der kritischsten Schwachstellen in Remote-Access-Software macht. Diese Authentifizierungs-Bypass-Schwachstelle nutzte einen grundlegenden Fehler in der Verarbeitung von URL-Pfaden in ScreenConnect aus, wodurch Angreifer Sicherheitskontrollen vollständig umgehen konnten.

Die Schwere der Schwachstelle lag in ihrer Einfachheit und den verheerenden Folgen. Durch einfaches Anfordern von “/SetupWizard.aspx/literallyanything” mit nahezu beliebigem Anhängsel konnten Angreifer auf den Setup-Assistenten bereits konfigurierte ScreenConnect-Instanzen zugreifen. Das bedeutete, dass Angreifer Administrator-Konten auf kompromittierten Systemen erstellen konnten, ohne irgendwelche Anmeldeinformationen zu benötigen.

Technische Analyse

Der Authentifizierungs-Bypass funktionierte, indem er die Validierung des Zugriffs auf den Setup-Assistenten in ScreenConnect ausnutzte. Unter normalen Umständen sollte der Setup-Assistent nur während der Erstinstallation zugänglich sein. Forscher entdeckten jedoch, dass der Setup-Assistent für die Einrichtung des initialen Administrators verantwortlich ist und die Benutzererstellung unmittelbar nach dem Klick auf die “Next”-Schaltfläche erfolgt, sodass es nicht notwendig ist, den Assistenten vollständig abzuschließen, um das System auszunutzen.

Was dies besonders verheerend machte, war, dass das Abschließen dieses Schritts die interne Benutzerdatenbank vollständig überschreiben würde, wobei alle anderen lokalen Benutzer gelöscht werden, außer dem im Setup-Assistenten angegebenen. Im Wesentlichen konnten Angreifer eine ScreenConnect-Instanz mit nur einer einfachen HTTP-Anfrage vollständig übernehmen.

Sicherheitsforscher nannten diese Schwachstellenkette “SlashAndGrab” aufgrund ihrer unkomplizierten Ausnutzung. Die Exploits wurden als “trivial” und “peinlich einfach” beschrieben, was sie auch für weniger versierte Angreifer zugänglich machte.

CVE-2024-1708: Der Path-Traversal-Komplize

Während CVE-2024-1709 wegen seiner perfekten CVSS-Bewertung Schlagzeilen machte, ist CVE-2024-1708 eine Path-Traversal-Schwachstelle mit einer CVSS-Bewertung von 8.4, die Versionen von ScreenConnect 23.9.7 und früher betrifft. Diese Schwachstelle, obwohl weniger schwerwiegend, erwies sich als ebenso kritisch, wenn sie in Kombination mit dem Authentifizierungs-Bypass ausgenutzt wird.

Der Path-Traversal-Fehler betraf eine unsachgemäße Validierung beim Extrahieren von Dateien aus ZIP-Archiven. Vor dem Patch konnte eine bösartige Erweiterung potenziell Dateien überall im ScreenConnect-Verzeichnis schreiben, anstatt auf das entsprechende Unterverzeichnis beschränkt zu sein. Diese Schwachstelle ermöglichte es Angreifern, schädlichen Code an Orten abzulegen, an denen er mit SYSTEM-Rechten ausgeführt wurde.

Die tödliche Kombination

In Kombination eröffneten diese Schwachstellen eine vollständige Angriffskette. Ein Angreifer würde zuerst CVE-2024-1709 ausnutzen, um Administratorzugang zu erlangen, und dann CVE-2024-1708 verwenden, um Remote-Code-Ausführung durch Hochladen schädlicher ScreenConnect-Erweiterungen zu erreichen. Sobald der Angreifer Administratorrechte auf einer kompromittierten Instanz hat, ist es trivial, eine bösartige Erweiterung hochzuladen und Remote-Code-Ausführung zu erlangen.

Die Ransomware-Reaktion: Realistische Ausnutzung

Die Offenlegung dieser Schwachstellen löste eine sofortige und weitreichende Exploit-Kampagne aus. CISA fügte CVE-2024-1709 aufgrund von Beweisen aktiver Ausnutzung in ihren Katalog der bekannten ausgenutzten Schwachstellen ein, was die Schwere der Bedrohung unterstrich.

Ransomware-Gruppen im Einsatz

Mehrere fortschrittliche Ransomware-Operationen integrierten diese Schwachstellen schnell in ihre Angriffswaffen. Die Gruppen Black Basta und Bl00dy wurden gemeldet, die die Schwachstelle ausnutzten, was zeigt, wie schnell Bedrohungsakteure auf neue Angriffspfade umstellen können.

Sicherheitsforscher beobachteten vielfältige bösartige Aktivitäten nach erfolgreicher Ausnutzung. Huntress berichtete, dass Bedrohungsakteure versuchten, Ransomware-Payloads, Kryptowährungs-Miner und zusätzliche Remote-Access-Tools wie Cobalt Strike Beacon nach Zugriff auf kompromittierte Geräte zu deployen.

Ein besonders bemerkenswerter Aspekt der Angriffe war die Verwendung von Ransomware-Varianten. Die beobachteten LockBit-Deployments wurden mit einem Verschlüsselungsprogramm ausgeführt, das um den 13. September 2022 erstellt wurde, was mit dem Zeitplan des öffentlich geleakten LockBit 3.0-Builders übereinstimmt. Dies deutete darauf hin, dass Bedrohungsakteure Leaks von Ransomware-Buildern nutzten, um schnell Angriffe durch die Schwachstellen in ScreenConnect zu starten.

Sophos berichtete, dass Ransomware-Payloads mit einem geleakten LockBit-Ransomware-Builder erstellt wurden, was bestätigt, dass sowohl fortgeschrittene Ransomware-Gruppen als auch opportunistische Angreifer diese Schwachstellen ausnutzen.

Fortschrittliche Persistenz- und Bedrohungsakteure

Neben klassischen Ransomware-Gruppen erkannten auch staatliche Akteure den Wert dieser Schwachstellen. Die nordkoreanische Gruppe Kimsuky nutzte die Schwachstelle, um ToddleShark-Malware zu verteilen, eine Weiterentwicklung ihrer früheren Backdoors BabyShark und ReconShark, mit Zielgruppen im Regierungs- und Think-Tank-Bereich weltweit.

Globale Auswirkungen und Exposure

Das Potenzial für Opfer war enorm. Bis zum 21. Februar 2024 beobachtete Unit 42 18.188 einzigartige IP-Adressen, die ScreenConnect weltweit hosten. Diese enorme Exposure schuf eine riesige Angriffsfläche für Bedrohungsakteure.

Die geografische Verteilung zeigte ein konzentriertes Risiko in bestimmten Regionen. Frühere Scans zeigten, dass fast drei Viertel dieser Hosts in den USA lagen, wobei die Top-10-Länder über 95 % der globalen Exposure ausmachten. Diese Konzentration bedeutete, dass amerikanische Organisationen besonders gefährdet waren.

Der Exploitationszeitraum war bemerkenswert schnell. Am 21. Februar 2024 wurde auf GitHub ein Proof-of-Concept-Code veröffentlicht, der diese Schwachstellen ausnutzt und einen neuen Benutzer im kompromittierten System anlegt. Innerhalb weniger Tage nach der Offenlegung der Schwachstellen standen Tools zur Automatisierung der Ausnutzung öffentlich zur Verfügung.

Erkennung und forensische Hinweise

Für Organisationen, die feststellen möchten, ob sie kompromittiert wurden, identifizierten Sicherheitsforscher mehrere wichtige Indikatoren. Es wird empfohlen, Microsoft IIS-Logs auf Anfragen an den Pfad “/SetupWizard.aspx” zu überwachen, insbesondere bei Anfragen mit einem Anhängsel, das auf eine Kompromittierung hindeutet.

Zusätzliche forensische Artefakte könnten erfolgreiche Ausnutzung anzeigen. Organisationen sollten nach temporären XML-Dateien zur Benutzererstellung auf Festplatten innerhalb eines bestimmten Zeitraums suchen, da diese Dateien auf eine mögliche Ausnutzung von CVE-2024-1709 hinweisen können. Außerdem sollte die potenzielle Ausnutzung von CVE-2024-1708 durch das Erkennen von .ASPX- und .ASHX-Dateien im Ordner App_Extensions von ScreenConnect überwacht werden.

Nach-Exploitation-Taktiken und -Techniken

Sicherheitsteams beobachteten ausgefeilte Aktivitäten nach erfolgreicher Kompromittierung. Angreifer priorisierten die Erstellung eigener Benutzerkonten mit Namenskonventionen, die unauffällig bleiben, sowie die Hinzufügung zu hoch privilegierten Gruppen.

Sie zeigten Kreativität bei Persistenzmechanismen. Angreifer nutzten certutil, um Ransomware-MSI-Payloads herunterzuladen, und machten diese durch Startordner persistent, um ihre Malware bei Systemneustarts zu erhalten.

Der Einsatz von Remote-Access-Tools war eine weitere gängige Taktik. Kompromittierte ScreenConnect-Instanzen wurden als Startpunkte für zusätzliche Malware genutzt, darunter Cobalt Strike Beacons und andere Remote-Management-Tools, die Angreifern dauerhaften, verdeckten Zugriff auf Netzwerke ermöglichten.

Behebung und Reaktion

ConnectWise reagierte schnell und umfassend. Es wurde ein Patch für beide Schwachstellen in Version 23.9.8 veröffentlicht, und es wurde eine außergewöhnliche Maßnahme ergriffen: Lizenzbeschränkungen wurden aufgehoben, um betroffenen Kunden ein Upgrade unabhängig vom Wartungsstatus zu ermöglichen.

Bei cloud-basierten Implementierungen erfolgte die Behebung automatisch. Cloud-Implementierungen von ScreenConnect, inklusive screenconnect.com und hostedrmm.com, erhielten innerhalb von Stunden nach Validierung Maßnahmen zur Behebung dieser Schwachstellen. Für lokale Installationen mussten Organisationen jedoch sofort handeln.

Notfall-Patch-Strategie

Organisationen ohne Wartungsvertrag erhielten eine spezielle Version (22.4.20001), die allen Partnern unabhängig vom Wartungsstatus zur Verfügung stand, um die Schwachstelle vorübergehend zu beheben. Damit konnten auch Kunden ohne aktive Supportverträge sich schützen.

Einige Organisationen stießen bei der Notfall-Patch-Implementierung auf Lizenzprobleme. Falls beim Upgrade ein Lizenzfehler auftrat, wurde empfohlen, die vier ScreenConnect-Dienste zu stoppen und die License.xml-Datei aus dem Installationsordner an einen anderen Ort zu verschieben, bevor das Upgrade fortgesetzt wird.

Hinweise zur Incident-Response

Bei Verdacht auf Kompromittierung raten Sicherheitsexperten zu aggressiven Eindämmungsmaßnahmen. Wenn Sie vermuten, dass Ihre ScreenConnect-Software kompromittiert wurde, priorisieren Sie die Sicherung Ihrer Systeme, indem Sie Ihrem bestehenden Incident-Response-Plan folgen, um die betroffenen Server zu isolieren und Backups zu erstellen.

Es ist wichtig zu beachten, dass eine kompromittierte ScreenConnect-Instanz möglicherweise nicht den gesamten Angriff abdeckt. Ein kompromittierter Server könnte nur ein Teil eines größeren Sicherheitsvorfalls sein. Die Incident-Response sollte das gesamte System umfassen, um alle Schwachstellen zu identifizieren und zu beheben.

Das Mandiant-Team von Google gab zusätzliche Empfehlungen zur Härtung. Organisationen sollten umfassende Remediation-Guides prüfen, die über einfache Patches hinausgehen und Konfigurationshärtung, Netzwerksegmentierung und erweiterte Überwachung umfassen.

Langfristige Auswirkungen und Lektionen

Die Offenlegung der ScreenConnect-Schwachstellen hatte nachhaltige Auswirkungen auf die Cybersicherheitslandschaft. Es war das erste Mal, dass Schwachstellen in ScreenConnect als in der Wildnis ausgenutzt gemeldet wurden, was die Wahrnehmung der Sicherheit der Fernzugriffs-Infrastruktur grundlegend veränderte.

Der Vorfall unterstrich die Bedeutung schneller Patch-Implementierung bei Remote-Access-Lösungen. Tools wie ScreenConnect sind essenzielle Infrastruktur in modernen IT-Umgebungen und daher attraktive Ziele für Angreifer. Wenn Schwachstellen in diesen Systemen eine perfekte CVSS-Bewertung erreichen, entscheidet oft nur noch die Geschwindigkeit der Reaktion über Erfolg oder Misserfolg.

Reaktion des Anbieters und Branchenstandards

Das Vorgehen von ConnectWise bei der Bewältigung der Krise setzte wichtige Maßstäbe für die Offenlegung und Behebung von Schwachstellen. Durch die Aufhebung von Lizenzbeschränkungen und kostenlose Upgrades, auch für Kunden ohne Wartungsvertrag, wurde die Sicherheit über kurzfristige Umsatzerwartungen gestellt. Dieses Vorgehen, obwohl kurzfristig kostspielig, half, den Gesamtschaden zu begrenzen.

Der Vorfall zeigte auch die Bedeutung schneller, transparenter Kommunikation. ConnectWise veröffentlichte zeitnah detaillierte Sicherheitsbulletins, arbeitete mit Sicherheitsforschern zusammen, um Exploit-Techniken zu verstehen, und gab klare Anweisungen zur Behebung. Diese Zusammenarbeit zwischen Anbieter, Forschern und der Sicherheitsgemeinschaft war entscheidend für eine effektive Reaktion.

Schutzmaßnahmen gegen ähnliche Bedrohungen

Organisationen sollten mehrere Schutzmaßnahmen umsetzen, um Schwachstellen wie CVE-2024-1709 und CVE-2024-1708 zu verhindern:

Netzwerksegmentierung: Remote-Access-Tools sollten möglichst nicht direkt im öffentlichen Internet zugänglich sein. Hinter Firewalls und VPNs reduziert sich die Angriffsfläche erheblich.

Schnelle Patch-Management-Prozesse: Kritische Schwachstellen erfordern sofortige Reaktion. Organisationen sollten Prozesse haben, die eine Notfall-Patchung innerhalb von Stunden nach Bekanntwerden ermöglichen.

Erweiterte Überwachung: Implementieren Sie umfassendes Logging und Monitoring für Remote-Access-Lösungen. Ungewöhnliche Authentifizierungsversuche, Zugriff auf Setup-Assistenten und verdächtige Dateierstellungen sollten Alarm schlagen.

Defense in Depth: Kein einzelner Sicherheitskontrollpunkt ist ausreichend. Mehrere Schutzschichten sorgen dafür, dass bei Ausfall einer Maßnahme andere noch greifen.

Regelmäßige Sicherheitsüberprüfungen: Regelmäßige Schwachstellen-Scans und Penetrationstests helfen, exponierte Remote-Access-Systeme und Konfigurationsfehler frühzeitig zu erkennen.

Das größere Bild der Remote-Access-Sicherheit

Die Schwachstellen in ScreenConnect sind Teil eines größeren Trends: Angreifer fokussieren zunehmend auf Remote-Access- und Management-Tools. Diese Systeme bieten genau das, was Angreifer suchen: legitime, vertrauenswürdige Kanäle für den Zugriff und die Kontrolle von Systemen im Netzwerk.

Die COVID-19-Pandemie beschleunigte die Verbreitung von Remote-Arbeit, was die Angriffsfläche vergrößerte. Jedes Remote-Access-Endpunkt ist eine potenzielle Einstiegsmöglichkeit. Die Sicherheit dieser Tools ist daher essenziell.

Moderne Bedrohungsakteure setzen verstärkt auf Supply-Chain-Angriffe und die Ausnutzung vertrauenswürdiger Software. Statt direkt einzudringen, nutzen sie legitime Tools und Zugriffswege. Remote-Access-Software ist hierfür ein ideales Vehikel, da sie authentifizierte, verschlüsselte Kanäle bietet, die von Sicherheitstools oft standardmäßig vertraut werden.

Fazit: Ein Weckruf für die Sicherheit von Remote-Access

Die Schwachstellen CVE-2024-1709 und CVE-2024-1708 in ConnectWise ScreenConnect waren eine deutliche Erinnerung an die kritischen Sicherheitsherausforderungen bei Remote-Access-Infrastrukturen. Mit einer perfekten CVSS-Note von 10.0, trivialer Ausnutzung und aktiver Nutzung durch mehrere Ransomware-Gruppen stellten diese Schwachstellen das Worst-Case-Szenario für Verteidiger dar.

Die schnelle Entwicklung und Verbreitung von Exploits, verbunden mit der enormen Anzahl exponierter Systeme weltweit, forderten sofortiges Handeln. Die schnelle Reaktion von ConnectWise, Sicherheitsforschern und der Community zeigte, wie wichtig koordinierte Offenlegung und Behebung sind.

Die Lehren daraus bleiben relevant: Remote-Access-Tools sind wertvolle Ziele. Organisationen müssen diese Systeme durch schnelle Patches, Netzwerksegmentierung, erweiterte Überwachung und Defense-in-Depth-Strategien sichern. Die Risiken sind zu hoch, um diese Sicherheit zu vernachlässigen.

Angreifer entwickeln ihre Taktiken ständig weiter. Die Sicherheitsgemeinschaft muss wachsam bleiben. Heute könnte eine Schwachstelle in Remote-Access-Software morgen zu einem großen Datenleck oder Ransomware-Ausbruch führen. Die Schwachstellen in ScreenConnect haben gezeigt, dass selbst ausgereifte, weit verbreitete Software kritische Sicherheitslücken bergen kann, die Angreifer schnell ausnutzen.

Die Bewertung mit einer perfekten 10 CVSS in CVE-2024-1709 war kein Übertreibung – sie spiegelte die Schwere einer Schwachstelle wider, die eine vollständige Systemkompromittierung mit minimalem Aufwand ermöglicht. Für Sicherheitsexperten ist dieses Ereignis eine Mahnung: Bei Schwachstellen dieser Größenordnung ist eine perfekte Reaktion gefragt. Verzögerungen sind keine Option.