ConnectWise ScreenConnect漏洞危及伺服器安全

重要信息提要

ConnectWise发现了一个严重的ScreenConnect漏洞，数千台伺服器面临被控制的风险。该公司于周一发布了修复程序，但安全漏洞仍然在被恶意利用。此漏洞的CVSS分数达到满分10，让攻击者能够轻易地绕过身份验证，获取管理权限。

ConnectWise周二表示，一个严重的 ConnectWise ScreenConnect 漏洞正被恶意利用，这使得成千上万的伺服器面临被接管的风险。

ConnectWise于周一发布了用于ScreenConnect 2397的安全修复，暴露出包含一个CVSS最高分为10的严重漏洞。随后，安全公告更新了三个已知攻击此漏洞的IP地址。

这个被跟踪为CVE20241709的严重漏洞，使得绕过身份验证并获得ScreenConnect实例的管理权限变得“轻而易举且令人尴尬，”根据Huntress研究人员的说法。

第二个漏洞，被跟踪为CVE20241708，是一起路径遍历漏洞，可能允许恶意的ScreenConnect扩展在其预定子目录之外实现远程代码执行RCE。

不过，Huntress研究人员指出，仅仅利用CVE20241709就足以实现RCE。

连接到伺服器的ConnectWise ScreenConnect实例的管理者应立即升级到版本2398，以防止伺服器遭到攻击。根据ConnectWise的说法，云端实例已经修补。

ScreenConnect漏洞可能导致大量下游端点受到威胁

ConnectWise ScreenConnect通常被管理服务提供商MSP用来获取客户端的远程访问，以便提供IT支持等服务。

截至周三上午，Shadowserver检测到了约3800个易受最新漏洞影响的ScreenConnect实例，这大约占所有已检测实例的93。Shadowserver也开始在其蜜罐上看到利用请求，该组织在X上发布了相关信息。

由于每个ScreenConnect实例可能服务于数百或数千个端点，因此CVES20241709可能为大规模供应链攻击铺平道路，这与自2023年5月以来影响超过2500个组织的Cl0p勒索病毒组织的MOVEit攻击类似。

“Huntress的首席执行官Kyle Hanslovan在一份声明中对SC Media表示：“我无法掩饰，这是个坏消息。”“这款软件的普遍性以及此漏洞提供的访问权限预示著我们即将面临一场勒索病毒的自由竞争。”

Huntress也在MOVEit攻击后参与