Site icon Sophos News

ConnectWise donne l’alerte concernant deux vulnérabilités

ConnectWise

[Remarque : pour obtenir plus d’informations sur ce sujet, veuillez consulter l’article de blog X-Ops dédié et détaillé].

Le 19 février 2024, ConnectWise a publié un avis de sécurité concernant son logiciel de surveillance et de gestion à distance (RMM : Remote Monitoring and Management). L’avis en question a mis en évidence deux vulnérabilités qui affectent les anciennes versions de ScreenConnect et qui ont fait l’objet d’une mitigation dans la version 23.9.8 et celles ultérieures. ConnectWise indique dans l’avis que ces vulnérabilités sont classées comme “Critiques : à savoir des vulnérabilités qui pourraient permettre d’exécuter du code à distance ou avoir un impact direct sur des données confidentielles ou des systèmes critiques”.

Les deux vulnérabilités sont :

Les implémentations de ScreenConnect hébergées dans le Cloud, notamment screenconnect.com et hostrmm.com, ont déjà reçu des mises à jour pour corriger ces vulnérabilités. Les instances auto-hébergées (sur-site/on-prem) restent à risque jusqu’à ce qu’elles soient mises à niveau manuellement, et nous recommandons de mettre immédiatement à jour la version 23.9.8 de ScreenConnect. La mise à niveau est disponible sur la page de téléchargement de ScreenConnect.

Le 21 février, un code PoC (preuve de concept) a été publié sur GitHub qui exploite ces vulnérabilités et ajoute un nouvel utilisateur au système compromis. ConnectWise a également mis à jour son rapport initial pour inclure l’exploitation active et réellement observée de ces vulnérabilités.

Les actions à mener

Les actions lancées par Sophos

Sophos suit activement les développements en cours concernant ces vulnérabilités ScreenConnect et leur exploitation. Les règles de détection suivantes ont été précédemment mises en œuvre pour identifier les abus de ScreenConnect et sont toujours valables pour identifier les activités post-exploitation.

Nous continuons à assurer la couverture en matière de protection et de détection à mesure que des changements surviennent et avons publié une règle de prévention (ATK/SCBypass-A) et testons des signatures réseau (IPS) similaires pour lutter contre la preuve de concept publique et d’autres futurs abus.

Notre équipe de réponse aux incidents a publié huit requêtes XDR sur son dépôt public GitHub :

Pour les clients MDR (Managed Detection and Response), nous avons lancé une campagne de chasse aux menaces à l’échelle de nos clients, et nos analystes MDR vous contacteront rapidement si une activité devait être observée. Notre équipe MDR surveillera avec la plus grande diligence les environnements de nos clients pour détecter d’éventuels comportements suspects et réagira si nécessaire. Nous fournirons d’autres mises à jour à mesure que de plus amples informations seront disponibles.

Remerciements

Anthony Bradshaw, Paul Jaramillo, Jordon Olness et Benjamin Sollman ont contribué à l’élaboration de cet article.

Billet inspiré de ConnectWise sounds the alarm on two vulnerabilities, sur le Blog Sophos.

Exit mobile version