CVE-2024-1709

ConnectWise ScreenConnect

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-02-22

Официальное описание

ConnectWise ScreenConnect contains an authentication bypass vulnerability that allows an attacker with network access to the management interface to create a new, administrator-level account on affected devices.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-1709 представляет собой критическую уязвимость обхода аутентификации (Authentication Bypass) с оценкой 10.0 по шкале CVSS. Проблема заключается в логической ошибке в маппинге путей (path mapping) компонента SetupWizard.aspx.

Злоумышленник может получить доступ к мастеру начальной настройки на уже развернутом сервере, отправив специально сформированный HTTP-запрос (например, по пути /SetupWizard.aspx/). Это позволяет повторно пройти процесс инициализации и создать новую учетную запись с правами администратора, полностью скомпрометировав экземпляр ScreenConnect и получив возможность удаленного выполнения кода (RCE) через стандартный функционал расширений.

Как исправить

Единственным надежным способом устранения уязвимости является обновление ScreenConnect до версии 23.9.8 или выше.

Для On-Premise серверов:

  1. Скачайте актуальный инсталлятор с официального сайта ConnectWise.
  2. Запустите обновление поверх текущей установки.

Для Linux-серверов (пример обновления через скачивание пакета):

wget "https://d1kueq6f08jd77.cloudfront.net/ScreenConnect_23.9.8.8811_Release.tar.gz"
tar -xf ScreenConnect_23.9.8.8811_Release.tar.gz
sudo ./install.sh

Для облачных экземпляров (Cloud): ConnectWise автоматически применила исправления для всех серверов в домене screenconnect.com. Дополнительных действий не требуется.

Временные меры

Если немедленное обновление невозможно, необходимо принять следующие меры для снижения риска:

  1. Ограничение доступа к панели управления: Настройте правила межсетевого экрана (Firewall), чтобы ограничить доступ к порту управления (обычно 8040, 8041) только для доверенных IP-адресов администраторов.

  2. Блокировка доступа к SetupWizard через IIS (для Windows): Если используется IIS в качестве Reverse Proxy, добавьте правило запрета для URL-путей, содержащих SetupWizard.aspx.

Add-WebConfigurationProperty -pspath 'MACHINE/WEBROOT/APPHOST'  -filter "system.webServer/security/access" -name "sslFlags" -value "None"
  1. Проверка на компрометацию (IoC): Проверьте файл базы данных пользователей User.xml на наличие неизвестных учетных записей администраторов, созданных в период отсутствия патча.
Select-String -Path "C:\Program Files (x86)\ScreenConnect\App_Data\User.xml" -Pattern "Administrator"
  1. Анализ логов: Ищите в логах HTTP-запросы к /SetupWizard.aspx с кодом ответа 200 от внешних IP-адресов.
Get-Content -Path "C:\inetpub\logs\LogFiles\W3SVC1\*.log" | Select-String "SetupWizard.aspx"
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей