CVE-2024-1709|ConnectWise ScreenConnect身份验证绕过漏洞

admin 2024年2月29日17:17:11评论24 views字数 689阅读2分17秒阅读模式

0x00 前言

ConnectWise Control为现代技术支持团队设计的高效、快速的远程支持、访问和会议系统,使技术人员可以通过使用远程支持以访问维修计算机、提供更新和管理来提高工作效率。这个功能丰富的解决方案拥有你在远程桌面解决方案中想要的所有工具,现在已赢得了许多用户的青睐。

ConnectWise Control突出的特点包括闪电般的连接、拖放文件传输、会话窗口大小调整、安全模式重启、锁定控制。

0x01 漏洞描述

由于身份验证过程并未针对所有访问路径进行安全防护,威胁者可通过特制请求访问已配置的 ScreenConnect 实例上的设置向导(如:/SetupWizard.aspx/literallyanything),从而可以创建新的管理员帐户并使用它来控制 ScreenConnect 实例。

0x02 CVE编号

CVE-2024-1709

0x03 影响版本

ConnectWise ScreenConnect <= 23.9.7

0x04 漏洞详情

0x05 参考链接

https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8

https://www.huntress.com/blog/a-catastrophe-for-control-understanding-the-screenconnect-authentication-bypass

原文始发于微信公众号(信安百科):CVE-2024-1709|ConnectWise ScreenConnect身份验证绕过漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月29日17:17:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2024-1709|ConnectWise ScreenConnect身份验证绕过漏洞https://cn-sec.com/archives/2533815.html

发表评论

匿名网友 填写信息