ConnectWise lançou atualizações de software para solucionar duas falhas de segurança em seu software de desktop e aproximação remoto ScreenConnect, incluindo um bug crítico que pode permitir a realização remota de código em sistemas afetados.
As vulnerabilidades, que atualmente não possuem identificadores CVE, estão listadas inferior:
- Ignorar autenticação usando um caminho ou meato mútuo (pontuação CVSS: 10,0)
- Limitação inadequada de um nome de caminho para um diretório restrito, também publicado porquê “path traversal” (pontuação CVSS: 8,4)
A empresa considerou sátira a sisudez dos problemas, citando que eles “poderiam permitir a capacidade de executar código remoto ou impactar diretamente dados confidenciais ou sistemas críticos”.
Ambas as vulnerabilidades afetam as versões 23.9.7 e anteriores do ScreenConnect, com correções disponíveis na versão 23.9.8. As falhas foram reportadas à empresa em 13 de fevereiro de 2024.
Embora não haja evidências de que as deficiências tenham sido exploradas, recomenda-se que os usuários que executam versões auto-hospedadas ou no lugar atualizem para a versão mais recente o mais rápido provável.
“O ConnectWise também fornecerá versões atualizadas das versões 22.4 a 23.9.7 para o problema crítico, mas recomenda fortemente que os parceiros atualizem para a versão 23.9.8 do ScreenConnect”, disse a empresa de software de gerenciamento de TI.
A empresa de segurança cibernética Huntress disse ter encontrado mais de 8.800 servidores executando uma versão vulnerável do ScreenConnect. Ele também demonstrou uma exploração de prova de concepção (PoC) que, segundo ele, pode ser “recriada com facilidade e requer conhecimento técnico mínimo” e usada para ignorar a autenticação em servidores ScreenConnect não corrigidos.
