远端桌面软体业者ConnectWise本周一(2/19)公开揭露了位于ScreenConnect的两个安全漏洞,但隔天就传出已遭骇客滥用,GitHub上亦已出现概念性验证攻击程式,使得资安业者相继出面呼吁使用者应尽速修补。
ScreenConnect是个远端桌面软体应用,ConnectWise同时支援ScreenConnect的云端代管服务、自行代管及就地部署版本。本周所揭露的两个安全漏洞为CVE-2024-1709与CVE-2024-1708,前者可透过一个备用路径或通道来绕过身分验证,CVSS风险等级高达最严重的10分,后者则是个路径穿越(Path Traversal)漏洞,其CVSS风险等级为8.4分。这两个漏洞影响ScreenConnect 23.9.7与之前的版本。
在ConnectWise公布漏洞之际,尚未传出相关漏洞遭到利用的消息,且ConnectWise已先行修补了建立在自家ScreenConnect伺服器上的云端服务,并建议自行代管或就地部署的客户更新至23.9.8。
不过,隔天ConnectWise便说已收到可疑活动的通知,同时释出网路入侵指标(IOC)供用户参考,而利用上述漏洞的概念性验证攻击程式于21日就出现在GitHub上。
资安业者Huntress也在本周公布了这两个安全漏洞的技术细节,指出当他们比较了ScreenConnect修补前后的程式码,发现相关漏洞非常容易被攻陷,且所建立的概念性攻击程式不仅绕过了身分验证,还能自远端执行程式。
根据Shadowserver在20日的追踪,公开网路上仍有3,800台ScreenConnect伺服器尚未修补漏洞,相较前一天只减少了7%。