ConnectWise a averti les clients de corriger immédiatement leurs serveurs ScreenConnect contre une faille de gravité maximale pouvant être utilisée dans les attaques d’exécution de code à distance (RCE).
Ce bogue de sécurité est dû à une faiblesse de contournement de l’authentification que les attaquants peuvent exploiter pour accéder à des données confidentielles ou exécuter du code arbitraire à distance sur des serveurs vulnérables lors d’attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.
La société a également corrigé une vulnérabilité de traversée de chemin dans son logiciel de bureau à distance, qui ne peut être exploitée que par des attaquants disposant de privilèges élevés.
« Des vulnérabilités ont été signalées le 13 février 2024 via notre canal de divulgation des vulnérabilités via le ConnectWise Trust Center », a averti ConnectWise.
« Il n’y a aucune preuve que ces vulnérabilités ont été exploitées dans la nature, mais des mesures immédiates doivent être prises par les partenaires sur site pour faire face à ces risques de sécurité identifiés. »
ConnectWise n’a pas encore attribué d’ID CVE aux deux failles de sécurité qui affectent tous les serveurs exécutant ScreenConnect 23.9.7 et versions antérieures.
Alors que ScreenConnect serveurs cloud hébergés sur screenconnect.com nuage ou hostedrmm.com sont déjà sécurisés contre les attaques potentielles, il est conseillé aux administrateurs utilisant un logiciel sur site de mettre à jour leurs serveurs vers ScreenConnect version 23.9.8 immédiatement.
Les chercheurs en sécurité de Huntress ont rapporté plus tôt aujourd’hui qu’ils avaient déjà créé un exploit de validation de principe (PoC) qui peut être utilisé pour contourner l’authentification sur des serveurs ScreenConnect non corrigés.
Huntress a ajouté qu’une recherche sur la plate-forme de gestion de l’exposition Censys lui avait permis de trouver plus de 8 800 serveurs vulnérables aux attaques.
Shodan suit également plus de 7 600 serveurs ScreenConnect, dont seulement 160 exécutent actuellement la version corrigée ScreenConnect 23.9.8.
Le mois dernier, CISA, la NSA et MS-ISAC ont publié un avis consultatif conjoint avertissant que les attaquants utilisent de plus en plus des logiciels légitimes de surveillance et de gestion à distance (RMM) tels que ConnectWise ScreenConnect à des fins malveillantes.
En utilisant un logiciel de bureau à distance comme point d’entrée dans les réseaux de leurs cibles, les auteurs de menaces peuvent accéder à leurs systèmes en tant qu’utilisateurs locaux sans nécessiter d’autorisations d’administrateur ou de nouvelles installations logicielles complètes.
Cela leur permet de contourner les contrôles de sécurité et d’accéder à d’autres appareils sur le réseau en profitant des autorisations de l’utilisateur compromis.
Les attaquants utilisent ScreenConnect à des fins malveillantes depuis des années, notamment pour voler des données et déployer des charges utiles de ransomware sur les systèmes piratés des victimes.
Plus récemment, Huntress a également repéré des acteurs de la menace utilisant des instances ScreenConnect locales pour un accès persistant aux réseaux piratés.