ConnectWise ne faillit pas à sa réputation de « solution emmental » pour les MSP, avec un nouveau trou de sécurité d’une sévérité maximale (10/10) dans sa solution d’administration à distance ScreenConnect.
Selon les équipes de recherche en sécurité de Huntress, exploiter la faille serait « d’une facilité déconcertante ». En divulguant la vulnérabilité de gravité maximale de contournement d’authentification (CWE-288 ou CVE-2024-1709), ConnectWise a également révélé une deuxième faiblesse (CWE-22 ou CVE-2024-1708), d’un score de 8,4/10.
« Une fois que vous disposez d’un accès administratif à une instance compromise, il est facile de créer et de télécharger une extension ScreenConnect malveillante pour obtenir un RCE », déclare Huntress. « Il ne s’agit pas d’une vulnérabilité, mais d’une fonctionnalité de ScreenConnect, qui permet à un administrateur de créer des extensions qui exécutent du code .Net en tant que SYSTEM sur le serveur ScreenConnect ».
La seconde vulnérabilité – permettant d’accéder à des chemins d’arborescence à l’accès normalement restreint – peut également conduire à des attaques de type ‘Zip Slip’, mais il faut pour cela que l’attaquant·e dispose d’un accès de niveau ‘administration’.
ConnectWise déclare indispensable de mettre à jour les versions 23.9.7 et antérieures de ScreenConnect installées sur site. L’éditeur conseille de passer à la dernière version disponible. En France, près de 190 systèmes seraient vulnérables.