Décidément, ConnectWise est un véritable emmental (contrairement à une légende, le gruyère ne possède pas de trous !). L’éditeur cumule en effet les vulnérabilités au détriment des MSP. En avril 2019, on apprenait que sa solution ConnectWise Control (anciennement Screen Connect) avait été utilisée pour une attaque de hackers contre Wipro Technologies. Le mois suivant la société indiquait que sa plateforme Manage avait été mise hors ligne par des pirates européens, sans toutefois compromettre des fichiers. Et en septembre, une nouvelle fois ConnectWise Control servait de point d’entrée pour un ransomware visant les fichiers du personnel mais aussi les clients de TSM Consulting, un MSP offrant ses services à 22 villes du Texas. A présent, c’est un chercheur en cybersécurité de Bishop Fox qui annonce avoir découvert pas moins de 8 nouvelles failles dans… ConnectWise Control. Et de trois pour la solution destinée aux MSP.

Les huit failles citées par l’expert sont les scripts intersites, la mauvaise configuration de CORS (Cross-Origin Resource Sharing), la falsification de requêtes intersites, la divulgation d’informations, l’exécution de code à distance, l’énumération des utilisateurs, les en-têtes de sécurité manquantes et les cookies non sécurisés.

Le chaînage de ces vulnérabilités « permettrait à un hacker d’exécuter du code arbitraire sur le serveur Control d’une victime et de prendre le contrôle de toutes les machines clientes connectées à l’instance Control d’une victime », a fait savoir Bishop Fox. Heureusement, ces failles n’ont pas été exploitées si l’on en croit ce qu’a déclaré à CRN, le directeur de la sécurité de ConnectWise, Tom Greco. Ce dernier a expliqué à nos confrères que six d’entre elles avaient été corrigées. La septième « qui présente un risque beaucoup plus faible » devrait l’être dans les prochaines semaines, et la huitième « ne constitue pas une menace crédible pour les utilisateurs du produit ».

Le spécialiste de la sécurité dédié aux MSP Huntress Labs, qui a depuis testé certaines des vulnérabilités, n’est pas aussi catégorique. Il estime que certaines d’entre elles ont été atténuées mais sont sans doute encore exploitables par les hackers. Il cite CORS et l’exécution du code à distance qui, ConnectWise l’assure, a fait l’objet d’une correction en septembre avant que Bishop Fox ne la découvre.

CRN relève une réelle inquiétude chez plusieurs MSP. Le vice-président exécutif de MNJ Technologies un fournisseur de services basé à Buffalo Grove près de Chicago, Ben Niernberg, a indiqué qu’après deux ou trois ans de relation avec ConnectWise, il avait changé de fournisseur de solution. De son côté, Allen Falcon, fondateur et CEO de Cumulus Global, un fournisseur de solutions cloud basé à Westborough dans le Massachusetts a déclaré qu’il considérait les problèmes de sécurité de ConnectWise Control « comme le début de quelque chose de plus important ». Il a ajouté qu’il s’attendait à des problèmes similaires sur le marché du RMM. « Chaque fournisseur de RMM et de PSA devrait se démener pour tester et valider qu’il n’a pas de problèmes similaires », a-t-il précisé. Partenaire de ConnectWise depuis 2007, Zac Paulson, CEO de TrueIT, un MSP basé à West Fargo (Dakota du Nord) a quant à lui expliqué que malgré les vulnérabilités révélées, il était globalement satisfait de ConnectWise, ajoutant que chaque outil utilisé par les fournisseurs de solutions comportait des risques.