Exploitation Active de ConnectWise ScreenConnect : Que Savoir

Temps de lecture : 10 min

Mis à jour May 19, 2026

Démarrez avec Splashtop

Solutions de gestion des terminaux, de téléassistance et d'accès à distance les mieux notées.

Lorsqu'une nouvelle vulnérabilité est découverte, les équipes TI et de sécurité doivent agir rapidement pour se protéger. Pour les utilisateurs de ConnectWise ScreenConnect, le moment est venu, car la vulnérabilité CVE-2024-1708 est activement exploitée.

La CISA a ajouté CVE-2024-1708 à son catalogue des vulnérabilités exploitées connues après des preuves d'exploitation active. La vulnérabilité a un score CVSS de haute sévérité de 8,4 et peut permettre l'exécution de code à distance ou avoir un impact direct sur les données confidentielles et les systèmes critiques.

Lorsque les plateformes de téléassistance sont vulnérables aux attaques, les dégâts peuvent s'étendre à plusieurs points de terminaison, serveurs et systèmes. En tant que tel, les organisations doivent savoir quoi faire lorsque des vulnérabilités comme celle-ci sont découvertes.

Que s'est-il passé avec ConnectWise ScreenConnect ?

L'Agence de la cybersécurité et de la sécurité des infrastructures (CISA) a récemment ajouté deux vulnérabilités au catalogue des vulnérabilités connues exploitées (KEV), y compris CVE-2024-1708. Il s'agit d'une vulnérabilité de traversée de chemin affectant ConnectWise ScreenConnect 23.9.7 et antérieurs. La vulnérabilité peut permettre aux attaquants d'exécuter du code à distance ou d'affecter directement des données confidentielles et des systèmes critiques, ce qui en fait un risque de haute gravité avec un score CVSS de 8,4.

ConnectWise a publié des correctifs pour la vulnérabilité en février 2024. Cependant, la mise à jour KEV de la CISA montre que les instances non corrigées restent une préoccupation de sécurité actuelle.

Le CVE-2024-1708 a également été observé dans des activités d'exploitation impliquant CVE-2024-1709, une vulnérabilité critique de contournement d'authentification ScreenConnect avec un score CVSS de 10.0. Ensemble, ces vulnérabilités soulignent pourquoi les utilisateurs de ScreenConnect devraient confirmer le statut des correctifs et examiner leurs environnements pour détecter des signes d'exposition.

Pourquoi l'exploitation de ScreenConnect est importante pour les équipes TI

Toute vulnérabilité logicielle est une menace qui mérite d'être atténuée, en particulier celles qui ont fait l'objet de exploitation active. Et pour logiciel de support à distance, le risque peut être encore plus grave qu'il n'y paraît à première vue.

Les outils de téléassistance peuvent connecter les techniciens aux systèmes, fournir un accès administratif et gérer les appareils sous surveillance et sans surveillance à travers différents environnements. De ce fait, ce sont des cibles de grande valeur pour les attaquants, car compromettre l'outil avec succès peut fournir un accès à plusieurs terminaux.

Étant donné les dommages qu'un téléassistance compromis peut causer, l'exploitation de la vulnérabilité de ScreenConnect sert de rappel sévère de l'importance de sécuriser le logiciel de téléassistance. Les équipes TI doivent maintenir les correctifs à jour, gérer la gouvernance des accès, activer la journalisation d'audit, et identifier rapidement les logiciels exposés pour pouvoir les traiter, sinon elles peuvent mettre en danger plusieurs utilisateurs et appareils.

Pourquoi CVE-2024-1708 est-il particulièrement important ?

Il n'y a pas de pénurie de vulnérabilités, mais leur gravité peut varier considérablement. Avec un score CVSS de 8,4, CVE-2024-1708 est classé comme une vulnérabilité de « Haute » sévérité, mais qu'est-ce qui le rend si critique ?

Plusieurs facteurs rendent cette vulnérabilité opérationnellement importante pour les équipes IT :

1. Cela affecte une plateforme de téléassistance

Comme mentionné, les vulnérabilités qui impactent les plateformes de téléassistance peuvent avoir des conséquences considérables, car ces plateformes sont utilisées pour gérer d'autres systèmes. Lorsqu'une solution de téléassistance est compromise, elle est généralement déjà déployée, de confiance et liée à des flux de travail privilégiés, ce qui permet aux attaquants de se déchaîner facilement sur les appareils connectés.

Un outil de support à distance exposé peut créer un point d'entrée dans des opérations TI plus larges, mettant ainsi en danger l'ensemble des réseaux.

2. Il a été enchaîné avec un contournement d'authentification critique

Une vulnérabilité à elle seule peut poser une menace, mais lorsque combinée à une autre vulnérabilité encore plus critique, cette menace peut s'escalader de manière exponentielle. Dans ce cas, CVE-2024-1708 a été enchaîné avec CVE-2024-1709, une vulnérabilité critique de contournement de l'authentification avec un score CVSS de 10,0.

En conséquence, la menace peut rapidement passer de « Élevée » à « Critique » si les deux vulnérabilités ne sont pas traitées. Les équipes TI doivent évaluer les vulnérabilités dans leur contexte, car les attaques combinées peuvent poser des menaces encore plus grandes.

3. L'exploitation a été liée à une activité de ransomware

Diverses exploitations peuvent avoir des conséquences différentes, mais la vulnérabilité CVE-2024-1708 a été associée à des attaques par ransomware, en faisant une menace de haute priorité. Les ransomware peuvent verrouiller des réseaux ou systèmes entiers jusqu'à ce que la rançon soit payée, entraînant des pertes significatives d'argent, de productivité et de confiance des clients. Ainsi, une vulnérabilité activement exploitée pouvant conduire à des attaques de ransomware doit être une priorité élevée.

4. Les anciennes vulnérabilités peuvent rester prioritaires

Ce n'est pas parce qu'une vulnérabilité est ancienne qu'elle n'est plus une menace. CVE-2024-1708 a été corrigé en février 2024, mais peut encore être activement exploité s'il n'est pas correctement atténué.

Trop souvent, la gestion des vulnérabilités se concentre sur les menaces les plus récentes et les divulgations les plus récentes. Cependant, les anciennes menaces existent toujours, donc les équipes TI ont besoin de visibilité sur les vulnérabilités anciennes qui peuvent encore exister sur leurs serveurs, points d'accès ou infrastructures, surtout si elles sont encore exploitées.

Ce que les équipes TI utilisant ScreenConnect devraient vérifier

Si votre entreprise utilise ConnectWise ScreenConnect, vous vous demandez peut-être quoi faire pour vous assurer que vous n'êtes pas victime de cette faille. Nous avons établi une liste de contrôle utile des étapes à suivre pour protéger votre réseau et vos appareils :

Confirmez si ScreenConnect est déployé dans votre environnement : La première étape consiste à identifier toutes les instances cloud, sur site, auto-hébergées et héritées de ScreenConnect que vous pourriez exécuter. Cela garantira que vous regardez les bons appareils et ne manquez aucune instance.
Vérifiez la version exécutée sur chaque instance: Même si vous utilisez ScreenConnect, il se peut que ce soit une version qui n'est pas à risque. Vérifiez et confirmez si un déploiement de ScreenConnect exécute une version affectée par CVE-2024-1708 (ou toute vulnérabilité liée à ScreenConnect).
Vérifiez l'état du correctif: Si vos appareils sont correctement corrigés, vous êtes peut-être déjà en sécurité. Votre prochaine étape devrait être de vérifier l'état de vos correctifs et de confirmer que les mises à jour ont été appliquées avec succès (et non simplement programmées ou supposées terminées).
Examinez l'exposition Internet : Déterminez si une instance de ScreenConnect, un serveur ou une interface de gestion est accessible de l'extérieur. Si c'est le cas, confirmez que l'accès est restreint, mis à jour, surveillé et limité aux administrateurs autorisés.
Examinez les utilisateurs administrateurs et les autorisations : Les anciens comptes qui conservent des autorisations d'accès peuvent constituer une vulnérabilité majeure en matière de cybersécurité. Assurez-vous de vérifier les comptes administrateur inutiles, les utilisateurs obsolètes, les privilèges excessifs et tout compte sans Authentification Multi-Facteurs (MFA) qui pourrait être compromis.
Vérifiez les journaux pour détecter toute activité suspecte : L'inspection des journaux peut aider à identifier si des comptes sont déjà compromis. Cherchez des sessions inattendues, des utilisateurs inconnus, des changements de configuration, de nouveaux comptes ou tout modèle d'accès anormal qui pourrait indiquer un acteur malveillant.
Évaluer l'impact en aval: Identifier l'impact potentiel d'une attaque est également important, surtout si vous gérez plusieurs appareils. Les MSP et les équipes TI soutenant plusieurs environnements devraient vérifier si les points de terminaison clients ou gérés peuvent être affectés et prendre des mesures pour les protéger.
Étapes de remédiation du document : Maintenir une documentation claire est essentiel. Enregistrez ce qui a été vérifié, mis à jour et examiné, et conservez des preuves pour les audits ou la réponse aux incidents.

Ce que cela signifie pour la sécurité de la téléassistance

Si vous voulez éviter CVE-2024-1708 et d'autres menaces similaires, une bonne sécurité pour votre logiciel de support à distance est essentielle. Avec des fonctionnalités de sécurité solides et une gestion des endpoints, vous pouvez améliorer vos défenses contre les vulnérabilités et les attaques, mais cela nécessite une stratégie et une planification.

Une stratégie de téléassistance sécurisée doit tenir compte de :

Vitesse de correction et fiabilité des mises à jour, de préférence avec automatisation des correctifs.
Visibilité centralisée des appareils et des logiciels déployés dessus.
Authentification forte, y compris MFA et ouverture de session unique (SSO) lorsque c'est approprié.
Autorisations granulaires pour les techniciens et contrôles d'accès basés sur les rôles (RBAC) pour contrôler qui a accès à quoi.
Journalisation de session et pistes d'audit pour maintenir la responsabilité et identifier les activités suspectes.
Contrôles d'accès sécurisé sans surveillance.
Visibilité claire des dispositifs pouvant être accessibles à distance.
Flux de travail de réponse rapide pour le cas où une vulnérabilité affecterait l'infrastructure de téléassistance.
Intégration entre la téléassistance, la visibilité des terminaux et la correction des correctifs pour améliorer les flux de travail et garder tout au même endroit.

Questions à poser lors de l'évaluation des outils de téléassistance

La téléassistance sécurisée nécessite une solution avec des contrôles d'accès solides, une visibilité claire, des corrections fiables et une journalisation prête pour l'audit. Bien qu'il existe de nombreux outils de téléassistance sur le marché, il est important d'évaluer vos options et de déterminer ceux qui répondent à tous vos besoins.

Lors de l'examen de logiciel de support à distance, considérez les éléments suivants :

Les administrateurs peuvent-ils imposer la MFA, l'SSO et des autorisations d'accès granulaire ?
L'accès technicien peut-il être limité ? Le cas échéant, est-ce limité par utilisateur, groupe, appareil ou rôle ?
Les journaux de session sont-ils disponibles pour révision et audit ?
L'accès sans surveillance peut-il être contrôlé et limité aux utilisateurs autorisés ?
À quelle vitesse les mises à jour de sécurité peuvent-elles être testées, déployées et vérifiées ?
Les équipes TI peuvent-elles identifier les logiciels obsolètes dans leur environnement ?
La plateforme prend-elle en charge la visibilité sur les endpoints distribués, hybrides et distants ?
Les équipes TI peuvent-elles gérer les flux de travail de correction et de remise en état sans avoir besoin de suivi manuel ?
La solution combine-t-elle la téléassistance avec des capacités de gestion des points de terminaison ?

Comment Splashtop Aide les Équipes TI à Renforcer la Sécurité de la Téléassistance

Si vous souhaitez donner à vos équipes TI les moyens de soutenir les utilisateurs et les terminaux dans un environnement distribué, vous avez besoin d'une solution de téléassistance robuste et sécurisée ainsi que d'une gestion des terminaux. Heureusement, Splashtop peut fournir exactement cela.

Splashtop offre aux équipes TI l'accès à distance sécurisé et le support dont elles ont besoin pour gérer les appareils distants de n'importe où, avec des contrôles centralisés conçus pour les environnements de travail à distance et hybride distribués. Avec cela, les équipes peuvent gérer les utilisateurs, les appareils et les autorisations depuis un seul endroit, accéder à distance aux appareils pour un dépannage pratique, et maintenir la visibilité nécessaire pour soutenir les environnements distants.

Avec Splashtop AEM (Gestion Autonome des Points de Terminaison), les équipes TI peuvent supporter les appareils de leur réseau avec détection de menaces automatisée, gestion des correctifs, et plus encore. Splashtop AEM fournit des correctifs en temps réel, des informations basées sur les CVE, une automatisation basée sur les politiques et une visibilité sur tous les points de terminaison, le tout depuis un tableau de bord convivial unique. Cela aide les équipes TI à passer d'une approche réactive à une approche proactive, améliorant ainsi la sécurité sur tous les appareils.

Splashtop inclut :

Accès à distance sécurisé et téléassistance sur les systèmes d'exploitation et les appareils.
Contrôles d'administration centralisés et autorisations granulaires pour faciliter et rendre efficace la gestion.
Options SSO (authentification unique)/SAML, MFA, journalisation et enregistrement pour sécuriser chaque session.
Splashtop AEM pour la gestion des correctifs en temps réel sur les systèmes d'exploitation et les applications tierces.
Inventaire et rapports des endpoints pour aider à identifier en un coup d'œil les logiciels vulnérables.
Détection de menaces basée sur CVE et renseignements pour soutenir la priorisation des correctifs.
Actions multiples et automatisation pour réduire le travail manuel répétitif.
Tableaux de bord centralisés qui offrent une visibilité sur l'état des correctifs, la santé des points de terminaison et la préparation aux audits.

Prenez de l'avance sur les vulnérabilités

La vulnérabilité de ConnectWise ScreenConnect est un rappel frappant de la nécessité d'une sécurité robuste pour les plateformes de téléassistance. Ce sont des infrastructures TI critiques et elles doivent être traitées comme telles, avec des contrôles d'accès robustes, un correctif fiable et une visibilité claire des points de terminaison.

La téléassistance est un excellent moyen d'assister les utilisateurs et de résoudre les problèmes des appareils depuis n'importe où, mais le niveau d'accès qu'elle offre peut devenir une menace sans une solution sécurisée et à jour. Les équipes TI devraient prendre le temps de vérifier si elles sont exposées, confirmer leurs statuts de correctifs et évaluer si leurs outils de téléassistance fournissent la sécurité et le contrôle dont elles ont besoin.

Si votre outil de support à distance actuel n'offre pas la visibilité, le contrôle d'accès et les flux de travail de gestion des terminaux dont votre équipe a besoin, il pourrait être temps d'évaluer une approche plus sécurisée et rationalisée.

Découvrez comment Splashtop aide les équipes TI à fournir une téléassistance sécurisée et une gestion des terminaux à partir d'une seule plateforme. Démarrer un essai gratuit aujourd'hui.

Commencez maintenant !

Essayez Splashtop AEM gratuitement dès aujourd'hui

Essai gratuit

Robert Pleasant

Robert Pleasant, également connu sous le nom de Robbie, est un spécialiste du marketing de contenu chez Splashtop avec des années d'expérience dans l'écriture pour une large gamme d'entreprises technologiques et de sites web, rendant les sujets techniques complexes faciles à comprendre et agréables grâce à un mélange d'expertise en la matière et d'esprit créatif. Il aime voir comment les avancées technologiques peuvent être utilisées pour améliorer la vie, et pendant son temps libre, Robbie aime l'écriture créative, les jeux de société, et essayer de suivre les bandes dessinées et les émissions de télévision.