ConnectWise ScreenConnect w wersji 23.9.7 i wcześniejszych zawiera krytyczną podatność Authentication Bypass (CWE-288), umożliwiającą atakującemu ominięcie mechanizmów uwierzytelnienia za pomocą alternatywnej ścieżki lub kanału. Podatność jest aktywnie eksploatowana, posiada maksymalny wynik CVSS 10.0 i figuruje w katalogu CISA KEV.
▸ Pokaż oryginał (EN)
ConnectWise ScreenConnect 23.9.7 and prior are affected by an Authentication Bypass Using an Alternate Path or Channel vulnerability, which may allow an attacker direct access to confidential information or critical systems.
Podatność polega na możliwości ominięcia procesu uwierzytelnienia poprzez użycie alternatywnej ścieżki lub kanału dostępu, co jest klasyfikowane jako CWE-288. Atakujący bez żadnych uprawnień, uwierzytelnienia ani interakcji użytkownika może skorzystać z tej luki zdalnie przez sieć. Skutkuje to bezpośrednim dostępem do chronionych zasobów aplikacji — według dostępnych informacji exploit jest wyjątkowo prosty do przeprowadzenia, a publicznie dostępne są zarówno proof-of-concept, jak i moduł dla frameworka Metasploit.
Atakujący może uzyskać bezpośredni dostęp do poufnych informacji lub krytycznych systemów zarządzanych przez ScreenConnect, w tym przejąć kontrolę nad zdalnie administrowanymi maszynami końcowymi. Ze względu na charakter produktu (narzędzie do zdalnego dostępu) skuteczne wykorzystanie podatności może prowadzić do pełnego przejęcia infrastruktury klienckiej.
Należy natychmiast zaktualizować ConnectWise ScreenConnect do wersji 23.9.8 lub nowszej, zgodnie z buletynem bezpieczeństwa producenta dostępnym pod adresem: https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8
ConnectWise ScreenConnect w wersji 23.9.7 i wszystkich wcześniejszych
Publicznie dostępny jest proof-of-concept (watchtowrlabs) oraz moduł Metasploit (PR #18870). Podatność opisywana w mediach branżowych jako wyjątkowo łatwa do wykorzystania. Data publikacji podatności i biuletynu producenta: 2024-02-21.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HConnectwise Screenconnect
APPConnectwise< 23.9.8
CISA KEV — szczegółyi
- Dostawcai
- ConnectWise ↗
- Produkti
- ScreenConnect
- Data dodania do KEVi
- 22 lutego 2024
- Termin remediation (USA)i
- 29 lutego 2024(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
ConnectWise ScreenConnect zawiera lukę umożliwiającą obejście uwierzytelniania, która pozwala atakującemu z dostępem do sieci do interfejsu zarządzania na utworzenie nowego konta na poziomie administratora na urządzeniach podlegających zagrożeniu.
▸ Pokaż oryginał (EN)
ConnectWise ScreenConnect contains an authentication bypass vulnerability that allows an attacker with network access to the management interface to create a new, administrator-level account on affected devices.
Powiązane podatności
ConnectWise ScreenConnect — instalacja niezaufanych rozszerzeń z RCE
ScreenConnect versions 25.2.3 and earlier versions may be susceptible to a ViewState code injection attack. AS...
ConnectWise ScreenConnect 23.9.7 and prior are affected by path-traversal vulnerability, which may allow an at...
ConnectWise ScreenConnect through 23.8.4 allows man-in-the-middle attackers to achieve remote code execution v...
In deployments using the ScreenConnect™ Certificate Signing Extension, encrypted configuration values includin...