立即修复！ConnectWise 服务器备份管理器存在RCE，可引发供应链攻击

ConnectWise 公司在上周五表示，已向 ConnectWise 服务器备份管理器 (SBM) 的云和客户端实例推出自动更新，并督促R1Soft服务器备份管理器的客户立即更新至所发布的SBM新版本 6.16.4。

ConnectWise 公司的首席信息安全官 Patrick Beggs 指出，“我们已通知客户修复并鼓励受影响产品的本地实例客户尽快安装补丁。”对于使用 ConnectWise Recover 的多数组织机构而言，无需采取额外措施，不过“R1Soft 是自管理的，我们建议这些客户快速应用补丁”。

ConnectWise 公司指出，安全厂商 Huntress 向其发出漏洞报告和PoC 代码演示该漏洞如何完全控制受影响系统。该公司表示，漏洞涉及“对下游组件所使用输出中特殊元素的不当处理”，存在于 ConnectWise Recover v2.9.7及后续版本以及 R1Sof SBM v6.16.3 及后续版本中。

Huntress 公司在10月31日发布的文章中指出，该漏洞和存在于ZK Java 库之前版本中的认证绕过漏洞 (CVE-2022-36537) 有关，该库与 ConnectWise 公司的服务器备份管理器技术有关。德国安全厂商 Code White GmbH 公司的一名研究员率先在该库中找到该漏洞并在2022年5月将其告知该框架的维护人员。该公司的另外一名研究员发现，ConnectWise 公司的 R1Soft SBM 技术当时在使用ZK 库的易受攻击版本并将该问题告知 ConnectWise 公司。由于该公司并在90天内回复，研究员透露了关于漏洞如何可被利用的一些详情。

Huntress 公司的研究员借此复现了该漏洞并优化了PoC。他们发现可利用该漏洞泄露服务器密钥、软件许可信息、系统配置文件并最终在系统超级用户上下文中获得远程代码执行权限。

Huntress 公司的研究人员发现，不仅可以获得MSP处易受攻击的 ConnectWise 系统上的代码执行权限，而且还能获得所有下游已注册端点上的代码执行权限。Shodan 扫描结果显示，超过5000个被暴露的 ConnectWise 服务器备份管理器实例易受这些利用的影响。鉴于多数系统位于 MSP 处，因此实际的受影响组织机构数量要多得多。

Huntress 公司的安全研究员 Caleb Stewart 指出，自己和其它研究员开发并报给 ConnectWise 公司的利用链涉及三个主要的组件：ZK库中的原始认证绕过、SBM上的RCE以及联网客户端上的RCE。

Stewart指出，研究人员耗时约三天复现了原始漏洞，之后逆向 R1Soft 应用程序以便用于恶意目的。利用该漏洞较为复杂，“但在几天内即可找到并利用漏洞”。

该漏洞再次说明，开发人员和最终客户为何需要注意环境中所有软件的安全公告。Stewart 指出，“它本质上是一个供应链漏洞——客户购买R1Soft SBM，而与之捆绑的ZK易受攻击。其严重性表现明显时，我认为ConnectWise 在快速推出补丁方面做得很出色。”

Huntress 公司的资深安全研究员 John Hammond 分析漏洞后指出，他们所开发出的可武器化攻击链本可造成广泛影响。他指出，“从一个认证绕过漏洞到完全攻陷结果，不仅跨越了一个端点，而是覆盖大量端点，它实际上是一个‘全自动’exploit，有可能造成广泛影响。”

ConnectWise 公司的首席信息安全官 Beggs并未直接回复为何未修复 Code White 公司研究员此前披露的原始漏洞，但一种可能的事实是，该研究员并未通过该公司的常规漏洞披露渠道披露该漏洞。

Beggs表示，“我们一直鼓励通过Trust Center 这个最有效的渠道提交安全问题”，通过其它渠道提交的问题不一定会获得应得的建议。他补充道，“在这个案例中，Huntress 在演示该漏洞的危险性方面做了令人尊敬的工作，他们迅速负责任地向我们直接展示漏洞并留给我们更新产品的时间。”