Administration à distance : ConnectWise ScreenConnect à patcher d’urgence

Ce lundi 19 février, ConnectWise dévoilait l’existence d’une grave vulnérabilité dans son outil d’administration à distance : exploitée avec succès, elle permet de contourner les mécanismes d’authentification.

Référencée CVE-2024-1709, cette vulnérabilité est désignée CWE-288 par ConnectWise et affecte les versions de ScreenConnect antérieures à la 23.9.8. Son score CVS, évaluant son niveau de sévérité, est de 10, le plus élevé.

Cette vulnérabilité est doublée d’une autre, la CWE-22, d’un score 8.4, permettant d’accéder à des chemins d’arborescence à l’accès normalement restreint. Elle est référencée CVE-2024-1708.

Face à la criticité de la vulnérabilité, l’éditeur enjoint les utilisateurs de sa solution d’administration à distance on-premise à appliquer sans attendre le correctif disponible. 

La recommandation s’avère d’autant plus prégnante que ces vulnérabilités sont activement exploitées : ConnectWise a partagé trois adresses IP liées à ces activités malveillantes. 

Qui plus est, un démonstrateur d’exploitation de ces vulnérabilités est désormais publiquement disponible. Huntress a parallèlement publié son analyse de ces vulnérabilités.

L’initiative britannique ShadowServer comptait environ 3 800 instances vulnérables exposées sur Internet au 20 février, à travers le monde. 

En France, les sondes du spécialiste de la gestion de la surface d’attaque exposée Onyphe ont relevé près de 190 systèmes vulnérables accessibles sur Internet, en ce 21 février.