Patchez ScreenConnect : une faille critique est exploitée par les gangs de ransomware Black Basta et Bl00dy
Une faille de sécurité critique découverte dans l'application ScreenConnect Server est très appréciée par les cybercriminels. Elle est exploitée par plusieurs gangs, dont Black Basta et Bl00dy. Faisons le point.
ScreenConnect et la faille de sécurité CVE-2024-1709
Lundi 19 février 2024, ConnectWise, éditeur de la solution ScreenConnect, a mis en ligne un bulletin de sécurité pour évoquer une faille de sécurité critique présente dans la partie "Serveur" de son application : CVE-2024-1709. ScreenConnect est une solution de prise en main à distance, et vous avez la possibilité d'héberger votre propre serveur, ou d'utiliser l'infrastructure de ConnectWise.
En exploitant cette vulnérabilité, un attaquant peut contourner l'authentification et exécuter du code à distance, sans aucune interaction de la part d'un utilisateur. La vulnérabilité est facile à exploiter et implique que l'attaquant soit en mesure de communiquer avec le serveur ScreenConnect. Résultat, elle peut être utilisée pour compromettre le serveur grâce à la création d'un compte administrateur.
Le problème, c'est qu'il y a énormément de serveurs ScreenConnect exposés sur Internet : on parle de plus de 10 000 serveurs, si l'on effectue une recherche via Shodan. Seuls environ 15% de ces serveurs utilisent la version 23.9.8 permettant de se protéger.
ConnectWise invite ses utilisateurs à patcher leur serveur dès que possible : "ConnectWise recommande aux partenaires de procéder immédiatement à une mise à jour vers la version 23.9.8 ou une version plus récente afin de remédier aux vulnérabilités signalées." - D'ailleurs, vous devez suivre l'upgrade path suivant : 2.1 → 2.5 → 3.1 → 4.4 → 5.4 → 19.2 → 22.8 → 23.3 → 23.9.
Remarque : ConnectWise a également corrigé la vulnérabilité CVE-2024-1708, de type Path-traversal.
Une vulnérabilité exploitée par plusieurs groupes de cybercriminels
Depuis une semaine, et un jour après la mise en ligne du correctif de sécurité, cette vulnérabilité est exploitée massivement par les cybercriminels. D'après Shadowserver, il y a plusieurs dizaines d'adresses IP à l'origine d'attaques à destination de serveurs ScreenConnect, dans le but de les compromettre en exploitant la faille de sécurité CVE-2024-1709.
Désormais, nous savons que les gangs de ransomware Black Basta et Bl00dy sont sur le coup ! Les chercheurs de Trend Micro ont fait cette découverte lors de l'analyse de plusieurs incidents de sécurité. Après avoir compromis le serveur ScreenConnect, les pirates ont pu accéder au réseau de l'entreprise ciblée pour déployer un web shell.
Trend Micro évoque également des notes de rançon, ainsi que d'autres malwares tel que XWorm, un logiciel malveillant assez polyvalent (remote access trojan avec des fonctions de ransomware).
Si vous utilisez ScreenConnect, patchez dès que possible ! Cette faille de sécurité critique est massivement exploitée par les gangs de ransomware !
