软体业者ConnectWise上周发布安全公告,警告远端桌面软体ScreenConnect存在重大风险漏洞,可允许ASP.NET网页元件注入,导致远端程式码执行。ConnectWise已发布更新修补漏洞。
该漏洞属于验证不足漏洞,位于ScreenConnect使用ViewState保存页面和控制项状态的ASP.Net Web表格中,这些网页是利用ASP.NET机器金钥(machine keys)进行资料的Base 64编码加密。英国NHS安全公告指出,由于此项漏洞,拥有系统高级权限的攻击者可能取得机器金钥,而得以制作和传送恶意ViewState程式码到网站,使其可在受害者伺服器上远端执行。
攻击者若取得其他存取权限,可导致机密资料外泄,或被存取其他部份的系统。本漏洞影响ScreenConnect 25.2.3及之前版本,风险值达CVSS 3.1 8.1分。
ConnectWise已发布ScreenConnect 25.2.4修补本漏洞,关闭ViewState并且移除任何相依性。ConnectWise并未说明是否有侦测到漏洞滥用情形。
云端用户无需动作,代管在该公司screenconnect.com云端,或是合作伙伴的Hostedrmm.com网域的伺服器已经更新。但本地部署的用户应尽速更新软体。
值得一提的是,微软也在2月警告部份滥用情形。3000多组ASP.NET机器金钥外泄,导致攻击者在网页注入恶意程式码,导致散布Godzilla恶意程式框架。