- Η αμερικανική υπηρεσία κυβερνοασφάλειας CISA προειδοποιεί για ενεργή εκμετάλλευση κενού ασφαλείας στον Microsoft Configuration Manager.
- Η ευπάθεια CVE-2024-43468 επιτρέπει την εκτέλεση κακόβουλου κώδικα μέσω SQL injection.
- Οι διαχειριστές συστημάτων πρέπει να εγκαταστήσουν άμεσα τα διαθέσιμα patches στις ευάλωτες εκδόσεις.
Το εργαλείο Microsoft Configuration Manager, που χρησιμοποιείται από πολλούς διαχειριστές IT, δέχεται επίθεση.
Σε συστήματα που δεν έχουν ενημερωθεί, είναι δυνατή η εισαγωγή κακόβουλου κώδικα.
Η αμερικανική υπηρεσία κυβερνοασφάλειας CISA εξέδωσε προειδοποίηση για ένα κενό ασφαλείας που αξιοποιείται ενεργά στη λύση διαχείρισης υπολογιστών Microsoft Configuration Manager.
Αν και το κενό είναι γνωστό δημοσίως ήδη από τον Οκτώβριο του 2024, φαίνεται πως οι επιτιθέμενοι άρχισαν να εκμεταλλεύονται την ευπάθεια μόλις πρόσφατα.
Οι διαχειριστές θα πρέπει να ενημερώσουν το εργαλείο άμεσα, αν δεν το έχουν κάνει ήδη.
Λεπτομέρειες της ευπάθειας
Το κενό ασφαλείας που αξιοποιείται στον Configuration Manager, ο οποίος ανήκει στην οικογένεια προϊόντων Intune, έχει καταχωρηθεί ως CVE-2024-43468.
Σύμφωνα με την προειδοποίηση ασφαλείας της Microsoft, οι επιτιθέμενοι μπορούν να εκμεταλλευτούν το κενό στέλνοντας ειδικά διαμορφωμένα αιτήματα σε ευάλωτες περιπτώσεις.
Σε περίπτωση επιτυχούς επίθεσης, είναι δυνατή η εκτέλεση κακόβουλου κώδικα στο σύστημα-στόχο ή στην υποκείμενη βάση δεδομένων.
Πρόκειται για μια λεγόμενη επίθεση SQL-Injection (CWE-89).
Ως αιτία, η Microsoft αναφέρει την “μη ασφαλή επεξεργασία” των εισερχόμενων αιτημάτων.
Το κενό ασφαλείας φτάνει σε βαθμολογία CVSS 9,8 και θεωρείται ως εκ τούτου κρίσιμο.
Η βαθμολογία CVSS 9.8/10 κατατάσσει την ευπάθεια στην κατηγορία “Κρίσιμη”, που σημαίνει ότι απαιτεί άμεση προσοχή και διόρθωση.
Το exploit είναι δημόσιο εδώ και μήνες
Ενώ η ανακοίνωση της Microsoft εξακολουθεί να αναφέρει ότι η εκμετάλλευση του κενού είναι “λιγότερο πιθανή”, η CISA φαίνεται να έχει λάβει ενδείξεις για τρέχουσες επιθέσεις.
Η υπηρεσία πρόσθεσε το CVE-2024-43468 στον κατάλογο των ενεργά αξιοποιούμενων κενών ασφαλείας στις 12 Φεβρουαρίου, μαζί με άλλα κενά σε συσκευές Apple, στο Solarwinds Web Help Desk και στο Notepad++.
Η ενεργή εκμετάλλευση του CVE-2024-43468 δεν αποτελεί πραγματική έκπληξη.
Ερευνητές ασφαλείας της Synacktiv, που θεωρούνται και οι ανακαλύψαντες του κενού, δημοσίευσαν ήδη πριν από περισσότερο από έναν χρόνο ένα Proof-of-Concept-Exploit στο Github και περιέγραψαν τεχνικές λεπτομέρειες σε ένα blog post.
Συνεπώς, τα απαραίτητα μέσα είναι διαθέσιμα στους επιτιθέμενους εδώ και μήνες.
Ποιες εκδόσεις επηρεάζονται
Στον παρακάτω πίνακα φαίνονται οι εκδόσεις που είναι ευάλωτες και απαιτούν άμεση ενημέρωση:
| Προϊόν | Ευάλωτες Εκδόσεις | Απαιτούμενη Ενέργεια |
|---|---|---|
| Microsoft Configuration Manager | 2303 | In-console Update |
| Microsoft Configuration Manager | 2309 | In-console Update |
| Microsoft Configuration Manager | 2403 | In-console Update |
Οι διαχειριστές που δεν έχουν ενημερώσει ακόμα τις εγκαταστάσεις του Configuration Manager τους, θα πρέπει να το κάνουν άμεσα.
Σύμφωνα με τη Microsoft, απαιτείται για αυτόν τον σκοπό μια λεγόμενη In-console-Update.
Τον ακριβή τρόπο λειτουργίας περιγράφει ο όμιλος στη σχετική τεκμηρίωση στην ιστοσελίδα του.
Η καθυστέρηση στην εφαρμογή του patch αφήνει τα εταιρικά δίκτυα εκτεθειμένα σε πλήρη παραβίαση και απώλεια δεδομένων.
Πρακτικός οδηγός αντιμετώπισης και προστασίας
Η αντιμετώπιση τέτοιων κρίσιμων ευπαθειών απαιτεί άμεσα αντανακλαστικά από τις ομάδες ΙΤ.
Δεν αρκεί απλώς η εγκατάσταση του patch; χρειάζεται μια συνολική προσέγγιση για τη θωράκιση του οργανισμού.
Πρώτο βήμα είναι η άμεση απομόνωση των ευάλωτων συστημάτων από το διαδίκτυο, εάν η ενημέρωση δεν μπορεί να γίνει αμέσως.
Αυτό περιορίζει την επιφάνεια επίθεσης και δίνει χρόνο στους διαχειριστές να προετοιμάσουν τη διαδικασία αναβάθμισης χωρίς τον φόβο άμεσης παραβίασης.
Έλεγχος για ενδείξεις παραβίασης (IOCs)
Επειδή το exploit είναι διαθέσιμο εδώ και καιρό, υπάρχει πιθανότητα το σύστημά σας να έχει ήδη παραβιαστεί χωρίς να το γνωρίζετε.
Ελέγξτε τα logs του SQL Server για ασυνήθιστα ερωτήματα ή μοτίβα που υποδηλώνουν SQL Injection.
Αναζητήστε τη δημιουργία νέων χρηστών με δικαιώματα διαχειριστή που δεν αναγνωρίζετε.
Ελέγξτε για ασυνήθιστη κίνηση δικτύου προς άγνωστες IP διευθύνσεις, ειδικά κατά τις νυχτερινές ώρες.
Η χρήση εργαλείων EDR (Endpoint Detection and Response) μπορεί να βοηθήσει σημαντικά στον εντοπισμό κακόβουλης δραστηριότητας που έχει ήδη εγκατασταθεί.
Μακροπρόθεσμη στρατηγική ασφάλειας
Το περιστατικό αυτό υπενθυμίζει τη σημασία της αρχής του “Least Privilege”.
Ο λογαριασμός που χρησιμοποιεί ο Configuration Manager για να συνδέεται στη βάση δεδομένων δεν πρέπει να έχει πλήρη δικαιώματα διαχειριστή (sa) αν δεν είναι απολύτως απαραίτητο.
Περιορίστε τα δικαιώματα στο ελάχιστο δυνατό επίπεδο που απαιτείται για τη λειτουργία.
Επιπλέον, βεβαιωθείτε ότι έχετε ενεργοποιήσει το Web Application Firewall (WAF) μπροστά από τις εφαρμογές που είναι εκτεθειμένες στο διαδίκτυο.
Ένα σωστά ρυθμισμένο WAF μπορεί να ανιχνεύσει και να μπλοκάρει απόπειρες SQL Injection πριν αυτές φτάσουν στον server.
Τέλος, εντάξτε τον Configuration Manager στο πρόγραμμα τακτικών ελέγχων ευπαθειών (Vulnerability Scanning) της εταιρείας σας.
Πολλές φορές, εργαλεία υποδομής όπως αυτό παραμελούνται σε σχέση με τις web εφαρμογές ή τα endpoints των χρηστών, ενώ στην πραγματικότητα αποτελούν τον “σκελετό” του εταιρικού δικτύου.
Σύμφωνα με πρόσφατες έρευνες, το 60% των παραβιάσεων οφείλεται σε ευπάθειες για τις οποίες υπήρχε ήδη διαθέσιμο patch αλλά δεν είχε εφαρμοστεί.
