Vulnérabilités ScreenConnect : Black Basta et Bl00dy se font plaisir

Dans un billet de blog, trois chercheurs de Trend Micro sonnent le tocsin. Ils confirment que l’exploitation active des vulnérabilités CVE-2024-1708 et CVE-2024-1709 touchant l’outil d’administration à distance ScreenConnect de ConnectWise est en cours, et implique notamment des acteurs connus pour conduire des cyberattaques avec ransomware.

La vulnérabilité CVE-2024-1709 affecte les versions de ScreenConnect antérieures à la 23.9.8. Son score CVS, évaluant son niveau de sévérité, est de 10, le plus élevé. Elle permet de contourner les mécanismes d’authentification.

La seconde, CVE-2024-1708, d’un score 8.4, permet d’accéder à des chemins d’arborescence à l’accès normalement restreint. 

ConnectWise a levé le voile sur ces deux vulnérabilités le 19 février, enjoignant au passage les utilisateurs de sa solution d’administration à distance on-premise à appliquer sans attendre le correctif disponible. 

Dans leur billet de blog, les chercheurs de Trend Micro indiquent que « ces vulnérabilités sont exploitées pour déployer des rançongiciels, ce qui entraîne des perturbations considérables et des dommages potentiels pour les entreprises qui dépendent de ce logiciel ». 

Parmi les acteurs malveillants impliqués sont notamment mentionnés les groupes Black Basta et Bl00dy. Ce dernier cherche régulièrement à exploiter des vulnérabilités fraîches pour conduire ses attaques.

Les chercheurs de Trend Micro font état de la CVE-2023-27350 du gestionnaire d’impression PaperCut, qui a également été exploitée par Cl0p ou pour déployer le ransomware LockBit.

Le groupe Bl00dy s’est également intéressé de près aux vulnérabilités CVE-2023-39143 et CVE-2023-4966 dite Citrix Bleed.