关于ConnectWise ScreenConnect备用路径或通道绕过身份验证漏洞(CVE-2024-1709)的安全告知

时间:2024-03-14 10:39:40来源:信息安全部作者:梦之想科技

ConnectWise ScreenConnect是一款快速、灵活且安全的远程桌面和访问软件,可随时随地连接到任何设备。

漏洞详情
ConnectWise ScreenConnect 23.9.7 及之前版本存在身份验证绕过漏洞。由于身份验证过程并未针对所有访问路径进行安全防护,威胁者可通过特制请求访问已配置的 ScreenConnect 实例上的设置向导,从而可以创建新的管理员帐户并使用它来控制 ScreenConnect 实例。

影响范围
ConnectWise ScreenConnect <= 23.9.7

漏洞复现
image006.png

修复建议
厂商已发布漏洞修复版本,请根据厂商修复建议进行修复。
下载链接:
https://screenconnect.connectwise.com/download

产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。

参考链接
https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8
https://screenconnect.connectwise.com/download