Vulnerabilities

ConnectWise ScreenConnect 23.9.8: CVE-2024-1709

ResilientX

Il 19 febbraio 2023, ConnectWise ha emesso una notifica di sicurezza relativa a due falle di sicurezza rilevate nel software di gestione remota ScreenConnect. I difetti identificati erano un bypass di autenticazione classificato CVSS 10.0 e un path traversal classificato come CVSS 8.4, a nessuno dei quali era stato assegnato un ID CVE in quel momento. Questo articolo si concentra sui dettagli complessi della vulnerabilità di bypass dell'autenticazione, con un proof of concept (POC) disponibile per la revisione.

Introduzione

Aggiornamento successivo: il difetto di bypass dell'autenticazione ha ricevuto la designazione CVE-2024-1709 il 21 febbraio 2023 ed è stato incluso nel catalogo CISA Known Exploited Vulnerability (KEV).

Analisi delle patch

Un esame delle differenze tra le versioni ScreenConnect 23.9.7.8804 e 23.9.8.8811 ha rivelato una modifica minore in SetupWizard.aspx. È stata implementata una nuova convalida per garantire che il processo di configurazione iniziale dell'applicazione fosse completato prima di accedere alla pagina SetupWizard, fondamentale per la generazione delle credenziali utente iniziali.

Identificazione della vulnerabilità

All'interno di SetupModule.cs, un filtro per le richieste HTTP funziona per reindirizzare tutte le richieste a SetupWizard.aspx se l'applicazione non è configurata o negare l'accesso a questa pagina una volta completata la configurazione. Tuttavia, esiste una falla nel metodo di convalida degli URL per SetupWizard.aspx. Aggiungendo semplicemente una barra all'URL, è possibile l'accesso non autorizzato alla procedura guidata di configurazione anche dopo la configurazione, esponendo un rischio significativo per la sicurezza.

Indicatori di compromesso

I registri di controllo dell'amministrazione dell'applicazione offrono informazioni sui recenti tentativi di accesso, inclusi gli indirizzi IP. Questi registri sono essenziali per identificare eventuali attività o indirizzi IP sconosciuti degli utenti.

In seguito alla scoperta, le informazioni sono state condivise con GreyNoise, che successivamente ha sviluppato un tag specifico per questa vulnerabilità, disponibile per la consultazione sulla propria piattaforma.

Riepilogo

Questa vulnerabilità consente agli utenti non autorizzati di ottenere il controllo amministrativo sul server ScreenConnect creando nuovi account amministrativi. Evidenzia un problema ricorrente riscontrato nelle vulnerabilità recenti, in cui gli aggressori possono reinizializzare le applicazioni o creare nuovi utenti iniziali dopo la configurazione. Un problema simile è stato documentato in CVE-2024-0204.

Nonostante inizialmente la mancanza di un'assegnazione CVE, è imperativo che gli utenti di ConnectWise ScreenConnect applichino immediatamente le patch per mitigare il potenziale sfruttamento.

Aggiornamenti

22 febbraio 2024: ConnectWise consiglia ai partner locali di eseguire tempestivamente l'aggiornamento alla versione 23.9.8 o successiva per risolvere questi problemi di sicurezza. È stata implementata un'ulteriore mitigazione per le installazioni in sede senza patch, che sospenderà le istanze non aggiornate alla versione 23.9.8 o successiva, con istruzioni fornite per l'aggiornamento.

21 febbraio 2024: i partner cloud vengono completamente risolti dalle vulnerabilità senza ulteriori azioni richieste. I partner locali sono invitati a eseguire l'aggiornamento all'ultima versione di ScreenConnect per mitigare le vulnerabilità.

20 febbraio 2024: Il rilascio della versione 23.9.10.8817 di ScreenConnect introduce vari miglioramenti e correzioni di sicurezza, sottolineando l'importanza di mantenere il software aggiornato per garantire sicurezza e prestazioni ottimali. Inoltre, ConnectWise ha eliminato le restrizioni di licenza per facilitare gli aggiornamenti all'ultima versione per tutti i partner.

Bollettino originale

Le vulnerabilità di sicurezza segnalate il 13 febbraio 2024 richiedono aggiornamenti immediati da parte dei partner locali per proteggersi da potenziali sfruttamenti. Queste vulnerabilità, descritte in CWE-288 e CWE-22, rappresentano un rischio critico, poiché consentono accessi non autorizzati e attacchi di attraversamento delle directory.

Fasi di riparazione:

I server ScreenConnect basati su cloud sono già aggiornati e sicuri.
Le installazioni on-premise devono essere aggiornate immediatamente alla versione 23.9.8 per motivi di protezione.

ConnectWise sottolinea l'importanza dell'aggiornamento all'ultima versione del software per garantire una sicurezza completa contro queste e future vulnerabilità.