Kritieke kwetsbaarheden in ConnectWise ScreenConnect
ConnectWise heeft kwetsbaarheden verholpen in ScreenConnect. Screenconnect is een RDP-softwareapplicatie. Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheden misbruiken om een nieuw administrator account aan te maken. Het Nationaal Cyber Security Centrum (NCSC) duidt de kwetsbaarheid als 'High/High'. Dit betekent dat er een grote kans is dat deze kwetsbaarheid misbruikt wordt en dat de schade groot kan zijn. Op dit moment zijn er nog geen CVE's toegekend aan de kwetsbaarheden.
Wat is het risico?
ScreenConnect versie 23.9.7 en eerder zijn kwetsbaar voor de kwetsbaarheden. De meest kritieke kwetsbaarheid geeft een ongeauthenticeerde kwaadwillende de mogelijkheid om een nieuw administrator account aan te maken en willekeurig code uit te voeren. Er is een exploit beschikbaar, dit is de code waarmee je de kwetsbaarheid kunt misbruiken. Dit maakt de kans op misbruik extra groot.
Wat kun je doen?
Let op wanneer je gebruik maakt van lokaal geïnstalleerde (“On Premise”) versies van ScreenConnect, ConnectWise heeft hier updates voor uitgebracht. Het advies is om te updaten naar versie 23.9.8. ConnectWise zal ook updates uitbrengen voor al eerder uitgebrachte versies 22.4 tot en met 23.9.7. Als je gebruikmaakt van ScreenConnect via de cloud (screenconnect.com), hoef je niks te doen.
Daarnaast heeft ConnectWise IoCs (Indicator of Compromise) uitgebracht, dit zijn sporen van misbruik. Deze lijst wordt geactualiseerd zodra er nieuwe informatie is. Zie voor meer informatie ook het beveiligingsadvies.
Het Digital Trust Center adviseert om de beschikbare beveilgingsupdates uit te (laten) voeren en onderzoek te doen naar sporen van misbruik. Maak je gebruik van ConnectWise ScreenConnect maar is het beheer hiervan uitbesteed? Verifieer dan bij de je IT-dienstverlener of de updates daadwerkelijk geïnstalleerd zijn en verzoek of ze met de door ConnectWise aangeleverde IoC’s kunnen nagaan of er misbruik heeft plaatsgevonden.