[Remarque : pour obtenir plus d’informations sur ce sujet, veuillez consulter l’article de blog X-Ops dédié et détaillé].
Le 19 février 2024, ConnectWise a publié un avis de sécurité concernant son logiciel de surveillance et de gestion à distance (RMM : Remote Monitoring and Management). L’avis en question a mis en évidence deux vulnérabilités qui affectent les anciennes versions de ScreenConnect et qui ont fait l’objet d’une mitigation dans la version 23.9.8 et celles ultérieures. ConnectWise indique dans l’avis que ces vulnérabilités sont classées comme “Critiques : à savoir des vulnérabilités qui pourraient permettre d’exécuter du code à distance ou avoir un impact direct sur des données confidentielles ou des systèmes critiques”.
Les deux vulnérabilités sont :
- CVE-2024-1709 (CWE-288) : contournement de l’authentification à l’aide d’un autre chemin ou canal.
- Score CVSS de 10, considéré comme “Critique“.
- CVE-2024-1708 (CWE-22) : limitation inappropriée d’un nom de chemin vers un répertoire restreint (“Path Traversal”).
- Score CVSS de 8,4, toujours considéré comme une “Priorité Élevée“.
Les implémentations de ScreenConnect hébergées dans le Cloud, notamment screenconnect.com et hostrmm.com, ont déjà reçu des mises à jour pour corriger ces vulnérabilités. Les instances auto-hébergées (sur-site/on-prem) restent à risque jusqu’à ce qu’elles soient mises à niveau manuellement, et nous recommandons de mettre immédiatement à jour la version 23.9.8 de ScreenConnect. La mise à niveau est disponible sur la page de téléchargement de ScreenConnect.
Le 21 février, un code PoC (preuve de concept) a été publié sur GitHub qui exploite ces vulnérabilités et ajoute un nouvel utilisateur au système compromis. ConnectWise a également mis à jour son rapport initial pour inclure l’exploitation active et réellement observée de ces vulnérabilités.
Les actions à mener
- Tout d’abord, vous devez vérifier si vous disposez d’un déploiement sur-site de ScreenConnect.
- Si une version sur-site est présente dans votre environnement et qu’il ne s’agit pas de la version 23.9.8 ou celles ultérieures, procédez à la mise à niveau vers la version la plus récente.
- Si une version sur-site est présente dans votre environnement et qu’il s’agit déjà de la version 23.9.8 ou celles ultérieures, vous ne courez aucun risque et aucune autre action n’est requise.
- Si vous n’êtes pas sur-site et que vous êtes hébergé dans le Cloud, vous ne courez aucun risque et aucune autre action n’est requise.
- Si votre déploiement est géré par un fournisseur tiers, demandez à ce dernier s’il a bien mis à niveau son instance vers la version 23.9.8 ou celles ultérieures.
- Si l’installation du correctif n’est pas possible, assurez-vous que le serveur ScreenConnect n’est pas accessible depuis Internet jusqu’à ce que le correctif puisse être correctement déployé.
- Une fois l’installation des correctifs terminée, effectuez un examen approfondi de l’installation de ScreenConnect à la recherche de comptes inconnus et d’activités anormales au niveau du serveur.
Les actions lancées par Sophos
Sophos suit activement les développements en cours concernant ces vulnérabilités ScreenConnect et leur exploitation. Les règles de détection suivantes ont été précédemment mises en œuvre pour identifier les abus de ScreenConnect et sont toujours valables pour identifier les activités post-exploitation.
- WIN-EXE-PRC-SCREENCONNECT-COMMAND-EXECUTION-1
- WIN-EXE-PRC-SCREENCONNECT-REMOTE-FILE-EXECUTION-1
- WIN-EXE-PRC-SCREENCONNECT-RUNFILE-EXECUTION-1
Nous continuons à assurer la couverture en matière de protection et de détection à mesure que des changements surviennent et avons publié une règle de prévention (ATK/SCBypass-A) et testons des signatures réseau (IPS) similaires pour lutter contre la preuve de concept publique et d’autres futurs abus.
Notre équipe de réponse aux incidents a publié huit requêtes XDR sur son dépôt public GitHub :
- ScreenConnect.01.0 – Check version of ScreenConnect Server.sql
- ScreenConnect.01.1 – Check version of ScreenConnect Server.sql (datalake)
- ScreenConnect.02.0 – ScreenConnect Relay IP.sql
- ScreenConnect.03.0 – SetupWizard.aspx in IIS logs.sql
- ScreenConnect.04.0 – Checks user.xml file for new users created.sql
- ScreenConnect.05.0 – Evidence of temporary User File creation.sql
- ScreenConnect.06.0 – Check for .ASPX .ASHX files in App_Extensions folder.sql
- ScreenConnect.07.0 – Identify shells being spawned from ScreenConnect.sql
Pour les clients MDR (Managed Detection and Response), nous avons lancé une campagne de chasse aux menaces à l’échelle de nos clients, et nos analystes MDR vous contacteront rapidement si une activité devait être observée. Notre équipe MDR surveillera avec la plus grande diligence les environnements de nos clients pour détecter d’éventuels comportements suspects et réagira si nécessaire. Nous fournirons d’autres mises à jour à mesure que de plus amples informations seront disponibles.
Remerciements
Anthony Bradshaw, Paul Jaramillo, Jordon Olness et Benjamin Sollman ont contribué à l’élaboration de cet article.
Billet inspiré de ConnectWise sounds the alarm on two vulnerabilities, sur le Blog Sophos.