Sintesi
ConnectWise corregge due vulnerabilità di sicurezza, di cui una con gravità “critica”, che interessano il prodotto ScreenConnect, software per il monitoraggio e la gestione remota di dispositivi (RMM).
Note (aggiornamento del 21/02/2024):
- un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete;
- la CVE-2024-1709 risulta essere sfruttate attivamente in rete.
Rischio (aggiornamento del 21/02/2024)
Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (79,48/100)1.
Tipologia
- Authentication Bypass
- Security Restrictions Bypass
Prodotti e/o versioni affette
ConnectWise ScreenConnect, versione 23.9.7 e precedenti
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Aggiornamento del 21/02/2024
Il vendor ha confermato lo sfruttamento della vulnerabilità e ha identificato i seguenti IP utilizzati dagli attaccanti:
- 155[.]133[.]5[.]15
- 155[.]133[.]5[.]14
- 118[.]69[.]65[.]60
Aggiornamento del 29/02/2024
Il vendor ha pubblicato una guida, redatta da Mandiant il 23 febbraio scorso, contenente le azioni di mitigazioni e di hardening raccomandate per il prodotto ConnectWise ScreenConnect.
Identificatori univoci vulnerabilità
Riferimenti
https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8
https://www.mandiant.com/resources/blog/connectwise-screenconnect-hardening-remediation
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
