ConnectWise a publié des mises à jour logicielles pour corriger deux failles de sécurité dans son logiciel de bureau et d’accès à distance ScreenConnect, y compris un bug critique qui pourrait permettre l’exécution de code à distance sur les systèmes concernés.
Le vulnérabilitésqui manquent actuellement d’identifiants CVE, sont répertoriés ci-dessous –
- Contournement de l’authentification à l’aide d’un autre chemin ou canal (score CVSS : 10,0)
- Limitation incorrecte d’un nom de chemin à un répertoire restreint, également appelé « traversée de chemin » (score CVSS : 8,4)
La société a jugé la gravité des problèmes comme critique, citant qu’ils « pourraient permettre l’exécution de code à distance ou avoir un impact direct sur des données confidentielles ou des systèmes critiques ».
Les deux vulnérabilités affectent les versions 23.9.7 et antérieures de ScreenConnect, avec des correctifs disponibles dans la version 23.9.8. Les failles ont été signalées à l’entreprise le 13 février 2024.
Bien qu’il n’y ait aucune preuve que les lacunes aient été exploitées dans la nature, il est recommandé aux utilisateurs qui exécutent des versions auto-hébergées ou sur site de mettre à jour vers la dernière version dès que possible.
« ConnectWise fournira également des versions mises à jour des versions 22.4 à 23.9.7 pour le problème critique, mais recommande fortement aux partenaires de mettre à jour vers la version 23.9.8 de ScreenConnect », a déclaré la société de logiciels de gestion informatique.
La société de cybersécurité Huntress a déclaré avoir trouvé plus de 8 800 serveurs exécutant une version vulnérable de ScreenConnect. Il a aussi démontré un exploit de preuve de concept (PoC) qui, selon lui, peut être « recréé facilement et nécessite des connaissances techniques minimales » et utilisé pour contourner l’authentification sur les serveurs ScreenConnect non corrigés.