L’exploit ConnectWise pourrait stimuler la gratuité des ransomwares, prévient un expert
Une vulnérabilité critique de ConnectWise ScreenConnect qui expose des milliers de serveurs à un risque de prise de contrôle est activement exploitée dans la nature, a déclaré ConnectWise mardi.
ConnectWise a publié lundi un correctif de sécurité pour ScreenConnect 23.9.7, révélant deux vulnérabilités, dont un bug critique avec un score CVSS maximum de 10. Le bulletin de sécurité a ensuite été mis à jour avec trois adresses IP connues pour cibler la faille.
Cette faille critique, identifiée comme CVE-2024-1709, rend trivial et embarrassant le contournement de l’authentification et l’obtention d’un accès administratif à une instance ScreenConnect, selon les chercheurs de Huntress.
Le deuxième bug, identifié comme CVE-2024-1708, est une vulnérabilité de traversée de chemin qui pourrait permettre à une extension ScreenConnect malveillante d’exécuter du code à distance (RCE) en dehors de son sous-répertoire prévu.
Cependant, les chercheurs de Huntress ont noté que l’exploitation du CVE-2024-1709 à elle seule est suffisante pour activer le RCE.
Les gestionnaires d’instances ConnectWise ScreenConnect sur site doivent immédiatement mettre à niveau vers la version 23.9.8 pour éviter toute compromission du serveur. Les instances cloud ont déjà été corrigées, selon ConnectWise.
L’exploit ScreenConnect menace de violer d’innombrables points de terminaison en aval
ConnectWise ScreenConnect est couramment utilisé par les fournisseurs de services gérés (MSP) pour obtenir un accès à distance aux points finaux des clients pour des services tels que le support informatique.
Environ 3 800 instances ScreenConnect vulnérables à la dernière version des bugs ont été détectés par Shadowserver mercredi matin, on estime que 93 % de tous les cas détectés. Shadowserver a également commencé à recevoir des demandes d’exploitation sur son pot de miel mercredi, a publié l’organisation sur X.
Chaque instance ScreenConnect servant potentiellement des centaines, voire des milliers de points de terminaison, CVE-2024-1709 pourrait ouvrir la voie à une attaque majeure de la chaîne d’approvisionnement, un peu comme le piratage MOVEit du groupe de ransomware Cl0p qui a touché plus de 2 500 organisations depuis mai 2023.
Je ne peux pas l’édulcorer, c’est mauvais, a déclaré le PDG de Huntress, Kyle Hanslovan, à SC Media dans un communiqué. La simple prédominance de ce logiciel et l’accès offert par cette vulnérabilité indiquent que nous sommes à l’aube d’une guerre contre les ransomwares.
Huntress, qui a également été impliqué dans la réponse aux incidents après le piratage MOVEit, a noté dans son document le danger accru dû à la disponibilité d’exploits de preuve de concept (POC), décidant de publier son propre POC seulement après que d’autres fournisseurs l’aient fait.
Un porte-parole de Huntress a déclaré que la société avait travaillé en étroite collaboration avec ConnectWise tout en étudiant l’exploit et ses impacts potentiels.
Il y a un calcul à venir avec un logiciel à double usage ; Comme Huntress l’a découvert avec MOVEit au cours de l’été, la même fonctionnalité transparente qu’elle offre aux équipes informatiques, elle l’offre également aux pirates informatiques, a déclaré Hanslovan. Grâce aux logiciels d’accès à distance, les méchants peuvent diffuser des ransomwares aussi facilement que les gentils peuvent diffuser un correctif. Et une fois qu’ils auront commencé à utiliser leurs crypteurs de données, je serais prêt à parier que 90 % des logiciels préventifs ne les détecteront pas car ils proviennent d’une source fiable.