外媒報導,ConnectWise ScreenConnect專業服務自動化(PSA)與遠端監控管理(RMM)軟體發現嚴重漏洞。許多MSP使用這套軟體遠端連線客戶設備,提供IT支援等服務。
ConnectWise表示,這兩個漏洞包括一個嚴重漏洞,CVSS分數最高可達10分。該公司安全公告提示三個IP位址已透過該漏洞被攻擊。
ConnectWise於今年2月19日為ScreenConnect 23.9.7(及所有較早版本)發布安全修補程式,並提供漏洞資訊:
- CWE-288 使用替代路徑或通道進行身份驗證繞過
- CWE-22 對受限目錄的路徑名稱限制不當(「路徑穿越」)
ConnectWise將漏洞嚴重性列為「關鍵」,表示漏洞可能允許遠端程式碼執行或直接影響機密數據或關鍵系統。
ConnectWise表示,地端部署版本需立即升級修補,雲端版本已修補安全。但目前仍有未更新或修補的伺服器超過8800台和大量客戶端點,全部暴露在惡意遠端控制威脅之下。
可能引發勒索軟體、供應鏈攻擊
第一個關鍵漏洞追蹤為CVE-2024-1709。據研究人員表示,該漏洞可以讓駭客繞過ScreenConnect 進行身份驗證並輕鬆取得管理訪問權限。
第二個漏洞追蹤為CVE-2024-1708,是一個路徑穿越漏洞,可能允許惡意ScreenConnect擴充達成預定子目錄外的遠端程式碼執行(RCE)。
ScreenConnec或MOVEit這類雙用途遠端管理軟體,可同時給予IT和駭客支援及便利性。它可讓勒索軟體像推送修補程式一樣輕易擴散,是重大供應鏈攻擊的祕密武器。
網路犯罪分子已開始在野外積極利用這兩個漏洞。MSP和MSSP應高度注意這兩個漏洞,檢查使用的ScreenConnect軟體版本,立即安裝最新安全修補,以免成為網路犯罪駭客入侵的跳板。企業端用戶也要加強警覺,避免遭受勒索軟體攻擊。
自從SolarWinds入侵和Kaseya勒索軟體攻擊事件後,遠端監控管理軟體的防禦已成為美國CISA的關注重點。CISA於2023年8月曾針對RMM廠商、MSP、MSSP、中小企業與關鍵基礎設施營運者發布RMM的網路防禦計畫。該計畫中表示,運營協作以及防禦指引。
本文轉載自MSSPAlert。