Af Eskil Sørensen, 23/02/24
ConnectWise har afsløret to sårbarheder, hvor af den ene er kritisk, i ScreenConnect applikation til fjernskriveborde.
Fejlen er en sårbarhed, der gør det muligt for trusselsaktører at omgå autentificering. Den har id’et CVE-2024-1709 og en CVSS-score på maksimale 10. Beskrives som værende "ekstrem triviel" at udnytte ifølge en post på X fra sikkerhedsfirmaet Horizon3.
Netop Horizon3 har offentliggjort en såkaldt teknisk diskussion af sårbarheden, hvor det fremgår at sårbarheden "tillader en angriber at oprette deres egen administrative bruger på ScreenConnect-serveren, hvilket giver dem fuld kontrol over serveren".
Selv om ConnectWise oprindeligt har oplyst, at der ikke er bevis for, at sårbarhederne er blevet eller bliver udnyttet in-the-wild, så fremgår det af en senere opdatering af vejledningen, at der er identificeret to angriber-IP-adresser, hvilket er indikationer på kompromittering.
Den anden sårbarhed, CVE-2024-1708, er en ’path traversal’-fejl med en CVSS-score på 8,8.
Denne giver ifølge ItNews en angriber mulighed for at udføre fjernkode eller direkte påvirke fortrolige data eller kritiske systemer.
Fejlene påvirker ikke ScreenConnect, som er hostet i skyen af ConnectWise.
Links:
https://www.itnews.com.au/news/connectwise-patches-critical-screenconnect-vulnerability-605354