Wenn eine neue Schwachstelle entdeckt wird, müssen IT- und Sicherheitsteams schnell arbeiten, um sich dagegen zu schützen. Für ConnectWise ScreenConnect-Nutzer ist die Zeit jetzt gekommen, da die CVE-2024-1708 -Schwachstelle aktiv ausgenutzt wird.
CISA hat CVE-2024-1708 in seinen Katalog der bekannten ausgenutzten Schwachstellen aufgenommen, nachdem Beweise für aktive Ausnutzung vorlagen. Die Sicherheitslücke weist einen CVSS-Schweregrad von 8,4 auf und kann Remote-Code-Ausführung ermöglichen oder direkt vertrauliche Daten und kritische Systeme beeinträchtigen.
Wenn Fernsupport-Plattformen anfällig für Angriffe sind, kann der Schaden auf mehrere Endpunkte, Server und Systeme ausgedehnt werden. Daher sollten Organisationen wissen, was zu tun ist, wenn solche Schwachstellen entdeckt werden.
Was ist mit ConnectWise ScreenConnect passiert?
Die Cybersecurity and Infrastructure Security Agency (CISA) hat kürzlich zwei Schwachstellen zum Katalog der Bekannten Ausgenutzten Schwachstellen (KEV) hinzugefügt, darunter CVE-2024-1708. Dies ist eine Pfad-Traversalisierungs-Schwachstelle, die ConnectWise ScreenConnect 23.9.7 und frühere Versionen betrifft. Die Schwachstelle kann Angreifern ermöglichen, Remote-Code auszuführen oder direkt Einfluss auf vertrauliche Daten und kritische Systeme zu nehmen, was sie zu einem Risiko mit hoher Schwere bei einem CVSS-Wert von 8,4 macht.
ConnectWise hat im Februar 2024 Korrekturen für die Schwachstelle veröffentlicht. Jedoch zeigt das Update der CISA KEV, dass ungepatchte Instanzen weiterhin ein aktuelles Sicherheitsproblem darstellen.
CVE-2024-1708 wurde auch bei Exploit-Aktivitäten im Zusammenhang mit CVE-2024-1709 beobachtet, einer kritischen ScreenConnect-Authentifizierungsumgehungsschwachstelle mit einem CVSS-Score von 10,0. Zusammen verstärken diese Schwachstellen die Notwendigkeit, warum ScreenConnect-Nutzer den Patch-Status bestätigen und ihre Umgebungen auf Anzeichen einer Gefährdung überprüfen sollten.
Warum die ScreenConnect-Ausnutzung für IT-Teams wichtig ist
Jede Software-Schwachstelle ist eine Bedrohung, die es zu mildern gilt, insbesondere diejenigen, für die es Nachweise für aktive Ausnutzung gibt. Und für Fernwartungssoftware kann das Risiko noch schwerwiegender sein, als es auf den ersten Blick scheint.
Fernsupport-Tools können Technikern ermöglichen, eine Verbindung zu Systemen herzustellen, administrativen Zugriff zu gewähren und sowohl beaufsichtigte als auch unbeaufsichtigte Geräte in verschiedenen Umgebungen zu verwalten. Daher sind sie wertvolle Ziele für Angreifer, da ein erfolgreicher Kompromiss des Tools den Zugriff auf mehrere Endpunkte ermöglichen kann.
Angesichts des Schadens, den kompromittierte Fernsupport verursachen kann, dient die Ausnutzung der ScreenConnect-Schwachstelle als eindringliche Erinnerung an die Bedeutung der Sicherung von Fernwartungssoftware. IT-Teams müssen Patches aktuell halten, den Zugriff verwalten, die Protokollierung von Prüfungen ermöglichen und schnell gefährdete Software identifizieren, um darauf zu reagieren, sonst riskieren sie, mehrere Benutzer und Geräte in Gefahr zu bringen.
Warum ist CVE-2024-1708 besonders wichtig?
Es mangelt nicht an Schwachstellen da draußen, aber ihre Schwere kann erheblich variieren. Mit einem CVSS-Score von 8,4 wird CVE-2024-1708 als „hohe“ Schweregrad-Sicherheitslücke eingestuft, aber was macht sie so kritisch?
Mehrere Faktoren machen diese Schwachstelle für IT-Teams betrieblich wichtig:
1. Es betrifft eine Fernsupport-Plattform
Wie erwähnt, können Schwachstellen, die Fernsupport-Plattformen betreffen, weitreichende Folgen haben, da diese Plattformen zur Verwaltung anderer Systeme genutzt werden. Wenn eine Fernsupport-Lösung kompromittiert wird, ist sie normalerweise bereits implementiert, vertraut und in privilegierte Workflows eingebunden, was es Angreifern leicht macht, sich ungehindert über verbundene Geräte auszubreiten.
Ein exponiertes Fernwartungstool kann einen Einstiegspunkt in breitere IT-Operationen schaffen, wodurch ganze Netzwerke gefährdet werden.
2. Es wurde mit einer kritischen Authentifizierungsumgehung verknüpft
Eine Schwachstelle kann für sich genommen eine Bedrohung darstellen, aber in Kombination mit einer weiteren, noch kritischeren Schwachstelle, kann diese Bedrohung exponentiell ansteigen. In diesem Fall wurde CVE-2024-1708 mit CVE-2024-1709 verbunden, einer kritischen Authentifizierungs-Schwachstelle mit einem CVSS-Wert von 10,0.
Infolgedessen kann die Bedrohung schnell von „Hoch“ auf „Kritisch“ ansteigen, wenn die beiden Schwachstellen nicht behoben werden. IT-Teams müssen Schwachstellen im Kontext bewerten, da kombinierte Angriffe noch größere Bedrohungen darstellen können.
3. Die Ausnutzung wurde mit Ransomware-Aktivität in Verbindung gebracht
Verschiedene Ausnutzungen können unterschiedliche Konsequenzen haben, aber die CVE-2024-1708-Sicherheitslücke wurde mit Ransomware-Angriffen in Verbindung gebracht und stellt daher eine hochpriorisierte Bedrohung dar. Ransomware kann ganze Netzwerke oder Systeme sperren, bis das Lösegeld gezahlt wird, was zu erheblichen Verlusten an Geld, Produktivität und Kundenvertrauen führt. Eine aktiv ausgenutzte Schwachstelle, die zu Ransomware-Angriffen führen kann, muss eine hohe Priorität haben.
4. Ältere Schwachstellen können weiterhin hohe Priorität haben
Nur weil eine Schwachstelle alt ist, heißt das nicht, dass sie keine Bedrohung mehr darstellt. CVE-2024-1708 wurde im Februar 2024 behoben, kann jedoch weiterhin aktiv ausgenutzt werden, wenn nicht ordnungsgemäß gemindert.
Allzu oft liegt der Schwerpunkt im Schwachstellenmanagement auf den neuesten Bedrohungen und den jüngsten Offenlegungen. Allerdings existieren alte Bedrohungen weiterhin, daher benötigen IT-Teams Einblick in ältere Schwachstellen, die möglicherweise immer noch auf ihren Servern, Endpunkten oder in ihrer Infrastruktur existieren, besonders wenn sie weiterhin ausgenutzt werden.
Was IT-Teams, die ScreenConnect verwenden, überprüfen sollten
Wenn Ihr Unternehmen ConnectWise ScreenConnect verwendet, fragen Sie sich möglicherweise, was zu tun ist, um sicherzustellen, dass Sie nicht Opfer dieses Exploits werden. Wir haben eine hilfreiche Checkliste mit Schritten zusammengestellt, die Sie zum Schutz Ihres Netzwerks und Ihrer Geräte unternehmen können:
Bestätigen Sie, ob ScreenConnect in Ihrer Umgebung bereitgestellt ist: Der erste Schritt sollte darin bestehen, alle Cloud-, On-Premise-, selbstgehosteten und Legacy-Instanzen von ScreenConnect zu identifizieren, die Sie möglicherweise ausführen. Dies wird sicherstellen, dass Sie die richtigen Geräte betrachten und keine Instanzen verpassen.
Prüfen Sie die Version, die auf jeder Instanz läuft: Auch wenn Sie ScreenConnect ausführen, ist es möglicherweise eine Version, die nicht gefährdet ist. Überprüfen und bestätigen Sie, ob eine ScreenConnect-Bereitstellung eine von CVE-2024-1708 oder ähnliche ScreenConnect-Schwachstellen betroffene Version ausführt.
Patch-Status überprüfen: Wenn Ihre Geräte ordnungsgemäß gepatcht sind, sind Sie möglicherweise bereits sicher. Ihr nächster Schritt sollte sein, Ihren Patch-Status zu überprüfen und zu bestätigen, dass die Updates erfolgreich angewendet wurden (nicht nur geplant oder als abgeschlossen angenommen).
Internet-Exposition überprüfen: Bestimmen Sie, ob eine ScreenConnect-Instanz, ein Server oder eine Verwaltungsoberfläche von außen erreichbar ist. Falls ja, stellen Sie sicher, dass der Zugriff eingeschränkt, gepatcht, überwacht und auf autorisierte Administratoren beschränkt ist.
Überprüfen Sie Administratorbenutzer und Berechtigungen: Alte Konten, die weiterhin Zugriffsberechtigungen haben, können ein großes Cybersicherheitsrisiko darstellen. Stellen Sie sicher, dass Sie nach unnötigen Administratoraccounts, veralteten Benutzern, übermäßigen Berechtigungen und allen Accounts ohne Multi-Faktor-Authentifizierung (MFA) suchen, die kompromittiert werden könnten.
Protokolle auf verdächtige Aktivitäten untersuchen: Das Untersuchen von Protokollen kann helfen zu erkennen, ob bereits Konten kompromittiert wurden. Achten Sie auf unerwartete Sitzungen, unbekannte Benutzer, Konfigurationsänderungen, neue Konten oder abnormale Zugriffsmuster, die auf einen bösartigen Akteur hinweisen könnten.
Bewertung der nachgelagerten Auswirkungen: Es ist auch wichtig, die potenziellen Auswirkungen eines Angriffs zu identifizieren, insbesondere wenn Sie mehrere Geräte verwalten. MSPs und IT-Teams, die mehrere Umgebungen unterstützen, sollten überprüfen, ob Kunden- oder verwaltete Endpunkte betroffen sein könnten, und Maßnahmen ergreifen, um sie zu schützen.
Dokumentations-Wiederherstellungsmaßnahmen: Klare Dokumentation ist unerlässlich. Protokollieren Sie, was überprüft, aktualisiert und begutachtet wurde, und bewahren Sie Nachweise für Audits oder die Reaktion auf Zwischenfälle auf.
Was das für die Sicherheit von Fernsupport bedeutet
Um CVE-2024-1708 und andere ähnliche Bedrohungen zu vermeiden, ist eine gute Sicherheit für Ihre Fernwartungssoftware essenziell. Mit starken Sicherheitsfunktionen und Endpunktmanagement können Sie Ihre Abwehr gegen Schwachstellen und Angriffe verbessern, aber das erfordert Strategie und Planung.
Eine sichere Fernsupport-Strategie sollte Folgendes berücksichtigen:
Patch-Geschwindigkeit und Zuverlässigkeit der Updates, vorzugsweise einschließlich Patch-Automatisierung.
Zentrale Übersicht über Geräte und die darauf bereitgestellte Software.
Starke Authentifizierung, einschließlich MFA und Einmalige Anmelden (SSO), wo angemessen.
Granulare Technikerberechtigungen und Rollenbasierte Zugriffskontrollen (RBAC) zur Steuerung, wer auf was Zugriff hat.
Sitzungsprotokollierung und Audit-Trails zur Aufrechterhaltung der Verantwortlichkeit und Erkennung verdächtiger Aktivitäten.
Sichere unbeaufsichtigte Zugriffskontrollen.
Klare Sicht darauf, welche Geräte remote zugänglich sind.
Schnelle Reaktions-Workflows für den Fall, dass eine Schwachstelle die Fernsupport-Infrastruktur betrifft.
Integration zwischen Fernsupport, Sichtbarkeit der Endpunkte und Patch-Remediation, um Arbeitsabläufe zu verbessern und alles an einem Ort zu halten.
Fragen, die Sie bei der Evaluierung von Fernsupport-Tools stellen sollten
Sicherer Fernsupport erfordert eine Lösung mit starken Zugriffskontrollen, klarer Transparenz, zuverlässigem Patching und revisionsfähiger Protokollierung. Auch wenn es viele Fernwartungstools auf dem Markt gibt, ist es wichtig, Ihre Optionen zu evaluieren und herauszufinden, welche alle Ihre Anforderungen erfüllen.
Wenn Sie Fernsupport-Software betrachten, beachten Sie Folgendes:
Können Administratoren MFA, SSO und granulare Zugriffserlaubnisse durchsetzen?
Kann der Zugriff von Technikern eingeschränkt werden? Wenn ja, ist es durch Benutzer, Gruppe, Gerät oder Rolle eingeschränkt?
Sind Sitzungsprotokolle zur Überprüfung und Audit verfügbar?
Kann der unbeaufsichtigte Zugriff kontrolliert und auf autorisierte Benutzer beschränkt werden?
Wie schnell können Sicherheitsupdates getestet, bereitgestellt und überprüft werden?
Können IT-Teams veraltete Software in ihrer Umgebung identifizieren?
Unterstützt die Plattform die Sichtbarkeit über verteilte, hybride und Remote-Endpunkte hinweg?
Können IT-Teams Patch- und Remediations-Workflows verwalten, ohne dass manuell nachverfolgt werden muss?
Kombiniert die Lösung Fernsupport mit Funktionen für das Endpunktmanagement?
Wie Splashtop IT-Teams hilft, die Sicherheit beim Remote-Support zu stärken
Wenn Sie Ihre IT-Teams befähigen möchten, Benutzer und Endpunkte in einer verteilten Umgebung zu unterstützen, benötigen Sie eine robuste und sichere Fernsupportlösung und Endpunktverwaltung. Glücklicherweise kann Splashtop genau das bieten.
Splashtop bietet IT-Teams den sicheren Fernzugriff und Support, den sie benötigen, um Remote-Geräte von überall zu verwalten, mit zentralen Steuerungen, die für verteilte Remote- und hybride Arbeitsumgebungen entwickelt wurden. Damit können Teams Benutzer, Geräte und Berechtigungen von einem einzigen Ort aus verwalten, Geräte für praktische Problemlösungen aus der Ferne zugreifen und die Sichtbarkeit erhalten, die sie zur Unterstützung von Remote-Umgebungen benötigen.
Mit Splashtop Autonomous Endpoint Management (Autonomies Endpunktmanagement) können IT-Teams Geräte im gesamten Netzwerk mit automatischer Bedrohungserkennung, Patch-Management und mehr unterstützen. Splashtop Autonomous Endpoint Management bietet Echtzeit-Patching, CVE-basierte Einblicke, richtlinienbasierte Automatisierung und Sichtbarkeit über Endpunkte hinweg, alles von einem einzigen benutzerfreundlichen Dashboard aus. Dies hilft IT-Teams, von reaktiv zu proaktiv zu wechseln und die Sicherheit auf allen Geräten zu verbessern.
Splashtop umfasst:
Sicherer Fernzugriff und Fernsupport über Betriebssysteme und Geräte hinweg.
Zentrale Admin-Kontrollen und detaillierte Berechtigungen, um das Management einfach und effizient zu gestalten.
SSO/DSGVO, MFA, Protokollierungs- und Aufzeichnungsoptionen, um jede Sitzung sicher zu halten.
Splashtop Autonomes Endpunktmanagement für die Echtzeit-Patch-Verwaltung über Betriebssysteme und Anwendungen von Drittanbietern.
Endpoint-Inventarisierung und Berichterstattung zur einfachen Identifizierung von anfälliger Software auf einen Blick.
CVE-basierte Bedrohungserkennung und Einblicke zur Unterstützung der Patch-Priorisierung.
1-zu-viele Aktionen und Automatisierung zur Reduzierung sich wiederholender manueller Arbeit.
Zentrale Dashboards, die Einblick in den Patch-Status, die Endpunktgesundheit und die Audit-Bereitschaft bieten.
Seien Sie Sicherheitslücken einen Schritt voraus
Die Sicherheitslücke in ConnectWise ScreenConnect ist eine eindringliche Erinnerung an die Notwendigkeit robuster Sicherheit für Fernsupport-Plattformen. Dies sind kritische IT-Infrastrukturen und sollten als solche behandelt werden, mit starken Zugriffskontrollen, zuverlässigen Patches und klarer Endpunktübersicht.
Fernsupport ist eine hervorragende Möglichkeit, Benutzern zu helfen und Geräte von überall aus zu diagnostizieren. Ohne eine sichere, aktuelle Lösung kann das Maß an Zugriff jedoch zu einer Bedrohung werden. IT-Teams sollten sich die Zeit nehmen, zu überprüfen, ob sie gefährdet sind, ihre Patch-Status zu bestätigen und einschätzen, ob ihre Fernsupport-Tools die benötigte Sicherheit und Kontrolle bieten.
Wenn Ihr aktuelles Fernsupport-Tool nicht die Sichtbarkeit, Zugriffskontrollen und Endpunktmanagement-Workflows bietet, die Ihr Team benötigt, könnte es an der Zeit sein, einen sichereren und optimierten Ansatz zu evaluieren.
Sehen Sie, wie Splashtop IT-Teams dabei unterstützt, sicheren Fernsupport und Endpoint-Management von einer Plattform aus bereitzustellen. Starten Sie noch heute Ihre kostenlose Testversion.
