Les clients de ConnectWise qui utilisent les solutions Screenconnect, Automate et ConnectWise de l’entreprise sont invités à mettre à jour tous les agents et / ou à valider que la mise à jour a été déployée d’ici le vendredi 13 juin à 20h00 HE ou des perturbations des risques.
La raison de l’avertissement est la révocation imminente des certificats numériques qui ont été utilisés pour signer les créateurs de logiciels ConnectWise précédents, «en raison des préoccupations soulevées par un chercheur tiers sur la façon dont Screenconnect pourrait potentiellement être utilisé par un mauvais acteur.»
ConnectWise a récemment admis qu’un acteur de l’État-nation avait compromis les instances de cloud Screenconnect de certains clients ConnectWise, mais dit que ce problème particulier n’implique pas un compromis de leurs systèmes ou de leurs certificats.
Néanmoins, il semble que la faiblesse signalée par le chercheur tiers a peut-être déjà été exploitée par les attaquants pendant des mois.
De quoi s’agit-il?
L’avant-avertissement de courrier électronique envoyé aux clients de ConnectWise a déclaré que les certificats seraient tournés le mardi 10 juin, mais que la date limite a été repoussée au 13 juin (comme annoncé sur la page «Dernières avis» de la société le 9 juin.)
L’annonce ultérieure indique que les préoccupations soulevées par un chercheur tiers portaient sur la façon dont ScreenConnect a géré certaines données de configuration dans les versions antérieures, mais ne fournit pas de détails sur la façon dont cela pourrait être exploité par les acteurs de la menace.
Ces informations ne sont accessibles que par les clients, mais certains d’entre eux les ont partagés dans une discussion sur Reddit.
Selon un utilisateur, le problème qui a conduit à la révocation du certificat est Screenconnect Stocking Configuration les données dans une zone disponible du programme d’installation qui n’est pas signé (mais fait partie de son installateur).
«Nous utilisons cette capacité à transmettre des informations de configuration pour la connexion (entre l’agent et le serveur) telles que l’URL où l’agent doit rappeler sans invalider la signature. La zone non signée est utilisée par notre logiciel et d’autres pour la personnalisation, cependant, lorsqu’ils sont couplés avec les capacités d’une solution de contrôle à distance, il pourrait créer un modèle de conception non sécurisé selon les normes de sécurité d’aujourd’hui», explique apparemment les expressions apparemment dans le (non-publique) Faq.
Utilisation abusive possible
Nous avons contacté ConnectWise pour nous demander si le problème de configuration a été utilisé par les attaquants pour cibler les victimes avec un logiciel client légitime et numérique ConnectWecwonnect qui a été reconfiguré pour se connecter à des serveurs contrôlés par l’attaquant pour fournir des logiciels malveillants, mais leur représentant nous a simplement pointé de l’annonce publique comme source pour «les informations les plus à jour».
Comme les chercheurs de LUMU l’ont précédemment noté, le logiciel du client Screenconnect ainsi modifié contourne les EDR (en raison d’une signature de connexion valide) et ne présente pas de comportement anormal.
«Au lieu de déployer des logiciels malveillants personnalisés pour les commandes et le contrôle, les attaquants tirent parti d’un outil d’administration à distance légitime, largement utilisé et de confiance: ScreenConnect (ConnectWise Control).
Action requise par les clients
“En plus d’émettre de nouveaux certificats, nous publions une mise à jour pour améliorer la façon dont ces données de configuration sont gérées dans ScreenConnect”, a déclaré ConnectWise dans l’annonce publique.
En raison de la révocation / rotation du certificat, les clients utilisant des versions sur site de ScreenConnect ou Automate ont été invités à mettre à jour la dernière construction et à valider que tous les agents ont été mis à jour avant le 13 juin, «pour éviter les perturbations ou l’expérience dégradée».
Les certificats et les agents à travers les instances cloud de l’automate et du RMM sont mis à jour par l’entreprise, et les clients ont été invités à valider que leurs agents exécutent la dernière version avant la date limite du 13 juin.
“Pour les instances de cloud Screenconnect, nous finalisons la version mise à jour, qui sera également déployée automatiquement une fois prête”, a conclu la société.
Abonnez-vous à notre alerte e-mail de Breaking News pour ne jamais manquer les dernières violations, vulnérabilités et menaces de cybersécurité. Abonnez-vous ici!
