Data di creazione:  20/02/2024 – 16:41

Sintesi

ConnectWise corregge due vulnerabilità di sicurezza, di cui una con gravità “critica”, che interessano il prodotto ScreenConnect, software per il monitoraggio e la gestione remota di dispositivi (RMM).

Note (aggiornamento del 21/02/2024): 

• un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete;
• la CVE-2024-1709 risulta essere sfruttate attivamente in rete.

Tipologia

• Authentication Bypass
• Security Restrictions Bypass

Prodotti e/o versioni affette

ConnectWise ScreenConnect, versione 23.9.7 e precedenti

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Aggiornamento del 21/02/2024

Il vendor ha confermato lo sfruttamento della vulnerabilità e ha identificato i seguenti IP utilizzati dagli attaccanti:

• 155[.]133[.]5[.]15
• 155[.]133[.]5[.]14
• 118[.]69[.]65[.]60

Aggiornamento del 29/02/2024

Il vendor ha pubblicato una guida, redatta da Mandiant il 23 febbraio scorso, contenente le azioni di mitigazioni e di hardening raccomandate per il prodotto ConnectWise ScreenConnect.

Identificatori univoci vulnerabilità

CVE-2024-1709

CVE-2024-1708

Riferimenti

https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8

https://www.mandiant.com/resources/blog/connectwise-screenconnect-hardening-remediation

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.