数字经济观察网 - 软信官网

ConnectWise提醒ScreenConnect管理员应立即修补其服务器，以防止威胁分子用远程代码执行(RCE)攻击。

据悉，此安全错误是由于身份验证绕过弱点造成的，攻击者可以利用该弱点来访问机密数据，或在不需要用户交互的低复杂性攻击中在服务器上远程执行任意代码。

该公司还修复了远程桌面软件中的一个路径漏洞，该漏洞只能被具有高权限的攻击者滥用。

ConnectWise称：“没有证据表明这些漏洞已被广泛利用，但内部部署合作伙伴必须立即采取行动，以解决这些已识别的安全风险。”

ConnectWise尚未为影响所有运行ScreenConnect 23.9.7及更早版本的服务器的两个安全缺陷分配CVE ID。

ScreenConnect.com云或Hostedrmm.com上托管的ScreenConnect云服务器已受到保护，免受潜在攻击，建议使用本地软件的管理员立即将其服务器更新到ScreenConnect版本23.9.8。

Huntress安全研究人员在报告中说，他们已经创建了一个概念验证(PoC)漏洞，可用于绕过未修补的ScreenConnect服务器上的身份验证。

在Censys暴露管理平台上进行搜索后，他们发现了超过8800台容易受到攻击的服务器。

Shodan还跟踪超7600个ScreenConnect服务器，其中只有160个当前运行经过修补的ScreenConnect 23.9.8版本。

上个月，CISA、NSA和MS-ISAC发布了联合咨询警告，称攻击者越来越多地使用合法的远程监控和管理(RMM)软件（例如ConnectWise ScreenConnect）进行恶意操作。

通过使用远程桌面软件作为目标网络的入口点，威胁分子可以以本地用户身份访问其系统，而无需管理员权限或安装新的完整软件。

这使得他们能够绕过安全控制，并利用受损用户的权限来访问网络上的其他设备。

多年来，攻击者一直利用ScreenConnect进行恶意目的，包括窃取数据以及在受害者被破坏的系统上部署勒索软件负载。最近，Huntress还发现威胁分子使用本地ScreenConnect实例持续访问被黑网络。