警告！ConnectWise 漏洞正被广泛利用，数千台服务器面临危险

ConnectWise 周二表示，一个严重的 ConnectWise ScreenConnect 漏洞正在被广泛利用，该漏洞使数千台服务器面临被接管的风险。

ConnectWise周一发布了 ScreenConnect 23.9.7 的安全修复程序，披露了两个漏洞，其中包括一个 CVSS 最高得分为 10 的严重错误。该安全公告后来更新为已知针对该漏洞的三个 IP 地址。

Huntress 的研究人员表示，这个被追踪为CVE-2024-1709 的严重缺陷使得绕过身份验证并获得 ScreenConnect 实例的管理访问权限变得“微不足道且极其容易” 。

第二个错误（编号为CVE-2024-1708）是一个路径遍历漏洞，可能允许恶意 ScreenConnect 扩展在其预期子目录之外实现远程代码执行 (RCE)。

然而，Huntress 研究人员指出，仅利用 CVE-2024-1709 就足以实现 RCE。

本地 ConnectWise ScreenConnect 实例的管理员应立即升级到版本 23.9.8，以防止服务器受到损害。据 ConnectWise 称，云实例已经被修补。

ScreenConnect 漏洞威胁无数下游端点
ConnectWise ScreenConnect 通常被托管服务提供商 (MSP) 用于远程访问客户端点以获取 IT 支持等服务。

截至周三上午，Shadowserver 检测到约 3,800 个易受最新漏洞影响的 ScreenConnect 实例——估计占所有检测到实例的 93%。该组织在 X 上发布消息称，Shadowserver 周三也开始收到对其蜜罐的攻击请求。

由于每个 ScreenConnect 实例可能为数百或数千个端点提供服务，CVE-2024-1709 可能会为重大供应链攻击奠定基础，这与 Cl0p 勒索软件组织实施的MOVEit 黑客攻击不同，该攻击自2023 年 5 月以来已影响了 2,500 多个组织。

“我不能粉饰它——这太糟糕了，”Huntress 首席执行官凯尔·汉斯洛万 (Kyle Hanslovan) 在一份声明中告诉 SC Media。“该软件的广泛流行以及该漏洞提供的访问权限表明我们正处于勒索软件肆虐的风口浪尖。”

Huntress 也参与了 MOVEit 黑客攻击后的事件响应，并指出由于概念验证 (POC) 漏洞的存在而增加了危险，只有在其他供应商发布自己的 POC 后才决定发布自己的 POC。

Huntress 发言人表示，该公司与 ConnectWise 密切合作，研究该漏洞及其潜在影响。

“双用途软件会带来清算；就像今年夏天通过 MOVEit 发现的 Huntress 一样，它为 IT 团队提供的无缝功能也为黑客提供了同样的功能，”Hanslovan 说道。“利用远程访问软件，坏人可以像好人推送补丁一样轻松地推送勒索软件。一旦他们开始推广他们的数据加密器，我敢打赌 90% 的预防性软件不会捕获它，因为它来自可信的来源。”