Критическая уязвимость в ScreenConnect: угроза перехвата сессий и компрометации ключей

Компания ConnectWise выпустила срочное предупреждение о серьезной уязвимости в своем программном обеспечении для удаленного доступа ScreenConnect. Уязвимость позволяет злоумышленникам без авторизации получить доступ к ключам аутентификации и перехватить сессии удаленного доступа. Проблема затрагивает все версии ScreenConnect до версии 26.1.2 включительно и имеет высокий уровень опасности согласно оценке производителя.

Подробнее о данной уязвимости можно узнать в официальном бюллетене ConnectWise: https://connectwise.com/security-advisories

Подробности уязвимости

Уязвимость связана с механизмом управления ключами аутентификации, используемым в ScreenConnect для защиты сессий удаленного доступа. Злоумышленник, воспользовавшись данной уязвимостью, может получить доступ к ключам аутентификации без предварительной авторизации, что открывает возможность перехвата активных сессий и получения контроля над удаленным рабочим столом жертвы.

Особенность ScreenConnect как инструмента удаленного администрирования делает эту уязвимость особенно опасной: компрометация сессий может привести к несанкционированному доступу к корпоративным системам и конфиденциальным данным.

Почему это важно для организаций с внешней атакуемой поверхностью

Для компаний, которые используют ScreenConnect или аналогичные решения для удаленного доступа, данная уязвимость представляет серьезную угрозу безопасности. Внешняя поверхность атаки включает все точки входа в инфраструктуру, доступные извне, и удаленный доступ является одним из наиболее уязвимых каналов.

Если злоумышленник получит контроль над сессией удаленного доступа, он сможет:

• Получать доступ к внутренним ресурсам компании без дополнительных препятствий
• Выполнять действия от имени легитимного пользователя, что усложняет обнаружение атаки
• Устанавливать постоянный доступ и распространять вредоносное ПО внутри сети

Таким образом, уязвимость может стать отправной точкой для масштабных инцидентов безопасности.

Практические рекомендации для команд безопасности

Для минимизации рисков, связанных с данной уязвимостью, специалистам по информационной безопасности рекомендуется предпринять следующие шаги:

• Немедленно обновить ScreenConnect до версии 26.1.3 или новее, где уязвимость устранена.
• Провести аудит текущих сессий удаленного доступа и завершить подозрительные или длительные подключения.
• Пересмотреть политику управления ключами и аутентификацией в системах удаленного доступа, чтобы усилить защиту.
• Внедрить многофакторную аутентификацию (MFA) для доступа к удаленным рабочим столам, снижая риск несанкционированного входа.
• Мониторить логи и события безопасности на предмет признаков перехвата сессий или необычной активности.
• Провести обучение сотрудников и администраторов по вопросам безопасного использования инструментов удаленного доступа.

В условиях роста числа атак на цепочки поставок и внешние поверхности организаций, своевременное устранение подобных уязвимостей становится ключевым элементом защиты корпоративной инфраструктуры. Уделяя внимание обновлениям и контролю доступа, компании смогут значительно снизить риски, связанные с эксплуатацией критических уязвимостей в ПО для удаленного администрирования.

---