Vai al contenuto principale
Splashtop20 years of trust
AccediProva gratuita
+31 (0) 20 888 5115AccediProva gratuita
An IT agenct working in an office.

Sfruttamento attivo di ConnectWise ScreenConnect: Cosa sapere

Robert Pleasant
10 minuti di lettura
Aggiornamento effettuato
Inizia con Splashtop
Accesso remoto, assistenza a distanza e soluzioni di gestione degli endpoint di prim'ordine.
Prova gratuita

Quando viene scoperta una nuova vulnerabilità, i team IT e di sicurezza devono lavorare rapidamente per proteggerla. Per gli utenti di ConnectWise ScreenConnect, quel momento è ora, poiché la vulnerabilità CVE-2024-1708 è sfruttata attivamente.

CISA ha aggiunto CVE-2024-1708 al suo catalogo di Vulnerabilità Sfruttate Note dopo l'evidenza di sfruttamento attivo. La vulnerabilità ha un punteggio CVSS di gravità elevata di 8.4 e può consentire l'esecuzione remota di codice o influenzare direttamente i dati riservati e i sistemi critici

Quando le piattaforme di supporto remoto sono vulnerabili agli attacchi, il danno può estendersi a più endpoint, server e sistemi. Pertanto, le organizzazioni dovrebbero sapere cosa fare quando vengono scoperte vulnerabilità come questa.

Cosa è successa con ConnectWise ScreenConnect?

La Cybersecurity and Infrastructure Security Agency (CISA) ha recentemente aggiunto due vulnerabilità al catalogo delle Vulnerabilità Sfruttate Note (KEV), tra cui CVE-2024-1708. Questa è una vulnerabilità di traversata del percorso che interessa ConnectWise ScreenConnect 23.9.7 e precedenti. La vulnerabilità può consentire agli aggressori di eseguire codice remoto o influire direttamente sui dati riservati e sui sistemi critici, rendendola un rischio ad alta gravità con un punteggio CVSS di 8.4.

ConnectWise ha rilasciato le correzioni per la vulnerabilità a febbraio 2024. Tuttavia, l'aggiornamento KEV di CISA mostra che le istanze non aggiornate rappresentano ancora una preoccupazione per la sicurezza attuale.

È stato osservato anche CVE-2024-1708 in attività di exploit che coinvolgono CVE-2024-1709, una vulnerabilità critica di bypass dell'autenticazione ScreenConnect con un punteggio CVSS di 10.0. Insieme, queste vulnerabilità rafforzano il motivo per cui gli utenti di ScreenConnect dovrebbero confermare lo stato delle patch e rivedere i loro ambienti per segni di esposizione.

Perché lo sfruttamento di ScreenConnect è importante per i team IT

Qualsiasi vulnerabilità software è una minaccia che vale la pena mitigare, specialmente quelle che hanno prove di sfruttamento attivo. E per software per supporto remoto, il rischio può essere ancora più grave di quanto sembri a prima vista.

Gli strumenti di supporto remoto possono connettere i tecnici ai sistemi, fornire accesso amministrativo e gestire dispositivi sia supervisionati che non supervisionati in vari ambienti. Per questo motivo, sono bersagli di alto valore per gli aggressori, poiché riuscire a compromettere lo strumento può fornire accesso a più endpoint.

Dato il danno che il supporto remoto compromesso può causare, lo sfruttamento della vulnerabilità di ScreenConnect serve come un forte promemoria dell'importanza di mettere in sicurezza il software di supporto remoto. I team IT devono mantenere aggiornate le patch, gestire il governo degli accessi, abilitare la registrazione degli audit e identificare rapidamente il software esposto per poterlo affrontare. In caso contrario, potrebbero mettere a rischio più utenti e dispositivi.

Perché CVE-2024-1708 è particolarmente importante?

Non mancano le vulnerabilità là fuori, ma la loro gravità può variare significativamente. Con un punteggio CVSS di 8.4, CVE-2024-1708 è classificata come una vulnerabilità di gravità "Alta", ma cosa la rende così critica?

Diversi fattori rendono questa vulnerabilità operativamente importante per i team IT:

1. Influisce su una piattaforma di supporto remoto

Come accennato, le vulnerabilità che colpiscono le piattaforme di remote support possono avere conseguenze di vasta portata, poiché queste piattaforme vengono utilizzate per gestire altri sistemi. Quando una soluzione di supporto remoto viene compromessa, è tipicamente già implementata, fidata e legata a flussi di lavoro privilegiati, rendendo facile per gli attaccanti scatenarsi tra i dispositivi connessi.

Uno strumento di supporto remoto esposto può creare un punto di accesso alle operazioni IT più ampie, mettendo a rischio intere reti.

2. È stato concatenato con un bypass di autenticazione critico

Una vulnerabilità da sola può rappresentare una minaccia, ma quando combinata con un'altra vulnerabilità ancora più critica, quella minaccia può aumentare esponenzialmente. In questo caso, CVE-2024-1708 è stato concatenato con CVE-2024-1709, una vulnerabilità critica di bypass dell'autenticazione con un punteggio CVSS di 10.0.

Di conseguenza, la minaccia può rapidamente passare da "Alta" a "Critica" se le due vulnerabilità non vengono affrontate. I team IT devono valutare le vulnerabilità nel contesto, poiché attacchi combinati possono rappresentare minacce ancora maggiori.

3. Lo sfruttamento è stato collegato ad attività di ransomware

Varie vulnerabilità possono avere diverse conseguenze, ma la vulnerabilità CVE-2024-1708 è stata collegata ad attacchi ransomware, rendendola una minaccia ad alta priorità. Il ransomware può bloccare intere reti o sistemi fino a quando il riscatto non viene pagato, causando significative perdite di denaro, produttività e fiducia dei clienti. Pertanto, una vulnerabilità attivamente sfruttata che può portare ad attacchi ransomware deve essere una priorità alta.

4. Le vulnerabilità più vecchie possono rimanere ad alta priorità

Solo perché una vulnerabilità è antica non significa che non sia più una minaccia. La CVE-2024-1708 è stata risolta a febbraio 2024, ma può ancora essere sfruttata attivamente se non mitigata correttamente.

Troppo spesso, la gestione delle vulnerabilità si concentra sulle minacce più recenti e le divulgazioni più nuove. Tuttavia, vecchie minacce esistono ancora, quindi i team IT necessitano di visibilità su vecchie vulnerabilità che potrebbero ancora esistere nei loro server, endpoint o infrastruttura, specialmente se vengono ancora sfruttate.

Cosa dovrebbero controllare i team IT che utilizzano ScreenConnect

Se la tua azienda utilizza ConnectWise ScreenConnect, potresti chiederti cosa fare per assicurarti di non essere vittima di questo exploit. Abbiamo compilato un elenco utile di passaggi che puoi seguire per proteggere la tua rete e i tuoi dispositivi:

  1. Conferma se ScreenConnect è distribuito nel tuo ambiente: Il primo passo dovrebbe essere identificare tutte le istanze cloud, on-premise, auto-gestite e legacy di ScreenConnect che potresti avere in esecuzione. Questo garantirà che tu stia guardando i dispositivi giusti e non perda nessuna occasione.

  2. Controlla la versione in esecuzione su ciascuna istanza: Anche se stai utilizzando ScreenConnect, potrebbe essere una versione che non è a rischio. Verifica e conferma se un deployment di ScreenConnect sta eseguendo una versione interessata da CVE-2024-1708 (o da eventuali vulnerabilità correlate di ScreenConnect).

  3. Verifica lo stato delle patch: Se i tuoi dispositivi sono adeguatamente aggiornati, potresti già essere al sicuro. Il tuo prossimo passo dovrebbe essere controllare lo stato delle patch e confermare che gli aggiornamenti siano stati applicati correttamente (non solo programmati o ipotizzati completati).

  4. Rivedi l'esposizione su internet: Determina se qualsiasi istanza di ScreenConnect, server o interfaccia di gestione è raggiungibile esternamente. Se è così, conferma che l'accesso è limitato, aggiornato, monitorato e limitato agli amministratori autorizzati.

  5. Rivedi gli utenti amministratori e le autorizzazioni: Gli account vecchi che mantengono i permessi di accesso possono essere una grande vulnerabilità di cybersecurity. Assicurati di controllare per account amministratore non necessari, utenti obsoleti, privilegi eccessivi e qualsiasi account mancante di Autenticazione Multi-Fattore (MFA) che potrebbe essere compromesso.

  6. Controllare i log per attività sospette: Controllare i log può aiutare a identificare se ci sono account già compromessi. Cerca sessioni inaspettate, utenti sconosciuti, modifiche alla configurazione, nuovi account o qualsiasi schema di accesso anomalo che potrebbe indicare un attore malevolo.

  7. Valutare l'impatto a valle: Identificare il potenziale impatto di un attacco è anche importante, soprattutto se gestisci più dispositivi. Gli MSP e i team IT che supportano ambienti multipli dovrebbero verificare se gli endpoint gestiti o dei clienti potrebbero essere interessati e prendere misure per proteggerli.

  8. Documenta i passaggi di rimedio: Mantenere una documentazione chiara è essenziale. Annota ciò che è stato controllato, aggiornato e revisionato, e mantieni le evidenze per audit o risposte agli incidenti.

Cosa significa questo per la sicurezza dell'assistenza non supervisionata

Se vuoi evitare CVE-2024-1708 e altre minacce simili, è essenziale una buona sicurezza per il tuo software per assistenza remota. Con funzionalità di sicurezza avanzate e gestione degli endpoint, puoi migliorare le tue difese contro vulnerabilità e attacchi, ma questo richiede strategia e pianificazione.

Una strategia di assistenza remota sicura dovrebbe tenere conto di:

  • Velocità di patching e affidabilità degli aggiornamenti, preferibilmente includendo l'automazione delle patch.

  • Visibilità centralizzata sui dispositivi e il software installato su di essi.

  • Autenticazione forte, inclusa MFA e Autenticazione Singola (SSO) dove appropriato.

  • Permessi granulari per i tecnici e Controlli di accesso basati sui ruoli (RBAC) per controllare chi ha accesso a cosa.

  • Registrazione delle sessioni e piste di controllo per mantenere responsabilità e identificare attività sospette.

  • Controlli di accesso sicuro non supervisionato.

  • Chiara visibilità su quali dispositivi possono essere accessibili tramite accesso remoto.

  • Flussi di lavoro per una risposta rapida nel caso in cui una vulnerabilità influisca sull'infrastruttura di supporto remoto.

  • Integrazione tra assistenza remota, visibilità degli endpoint e correzione delle patch per migliorare i flussi di lavoro e tenere tutto in un unico posto.

Domande da fare quando si valutano gli strumenti di supporto remoto

Un'assistenza remota sicura richiede una soluzione con solidi controlli di accesso, chiara visibilità, aggiornamenti affidabili e registrazione pronta per l'audit. Sebbene ci siano molti strumenti di supporto remoto sul mercato, è importante valutare le tue opzioni e determinare quali soddisfano tutte le tue esigenze.

Quando guardi il software per il supporto remoto, considera quanto segue:

  • Gli amministratori possono imporre MFA, SSO e permessi di accesso granulari?

  • L'accesso dei tecnici può essere limitato? Se sì, è limitato dall'utente, dal gruppo, dal dispositivo o dal ruolo?

  • I registri delle sessioni sono disponibili per la revisione e l'audit?

  • L'accesso non supervisionato può essere controllato e limitato agli utenti autorizzati?

  • Quanto velocemente si possono testare, distribuire e verificare gli aggiornamenti di sicurezza?

  • I team IT possono identificare i software obsoleti nel loro ambiente?

  • La piattaforma supporta la visibilità su endpoint distribuiti, ibridi e remoti?

  • Le squadre IT possono gestire i flussi di lavoro di patching e correzione senza dover fare follow-up manuale?

  • La soluzione combina l'assistenza remota con le capacità di gestione degli endpoint?

Come Splashtop Aiuta i Team IT a Rafforzare la Sicurezza del Remote Support

Se vuoi dare potere ai tuoi team IT per supportare utenti e endpoint in un ambiente distribuito, hai bisogno di una soluzione di assistenza remota robusta e sicura e della gestione degli endpoint. Fortunatamente, Splashtop può fornire proprio questo.

Splashtop offre ai team IT l’ accesso remoto sicuro e l’assistenza di cui hanno bisogno per gestire i dispositivi remoti da qualsiasi luogo, con controlli centralizzati progettati per ambienti di lavoro remoto e ibrido distribuiti. Con esso, i team possono gestire utenti, dispositivi e permessi da un unico posto, accedere ai dispositivi con accesso remoto per una risoluzione dei problemi pratica e mantenere la visibilità necessaria per supportare gli ambienti remoti.

Con Splashtop AEM (Gestione Autonoma degli Endpoint), i team IT possono supportare i dispositivi nella loro rete con rilevamento automatico delle minacce, gestione delle patch e altro ancora. Splashtop AEM offre patch in tempo reale, approfondimenti basati su CVE, automazione basata su policy e visibilità su tutti gli endpoint, il tutto da un'unica dashboard facile da usare. Questo aiuta i team IT a passare da reattivi a proattivi, migliorando la sicurezza su tutti i dispositivi.

Splashtop include:

  • Accesso remoto sicuro e supporto remoto su sistemi operativi e dispositivi diversi.

  • Controlli amministrativi centralizzati e permessi granulari per rendere la gestione facile ed efficiente.

  • Opzioni SSO/SSO, MFA, logging e registrazione per mantenere sicura ogni sessione.

  • Splashtop AEM per la gestione delle patch in tempo reale su sistemi operativi e applicazioni di terze parti.

  • Inventario degli endpoint e reportistica per individuare rapidamente i software vulnerabili a colpo d'occhio.

  • Rilevamento delle minacce basato su CVE e approfondimenti per supportare la priorità delle patch.

  • Azioni uno-a-molti e automazione per ridurre il lavoro manuale ripetitivo.

  • Dashboard centralizzati che offrono visibilità sullo stato delle patch, la salute degli endpoint e la prontezza per gli audit.

Rimani all'avanguardia rispetto alle vulnerabilità

La vulnerabilità di ConnectWise ScreenConnect è un chiaro promemoria della necessità di una sicurezza robusta per le piattaforme di supporto remoto. Queste sono infrastrutture IT critiche e dovrebbero essere trattate come tali, con controlli di accesso rigorosi, aggiornamenti affidabili e visibilità chiara degli endpoint.

L'assistenza remota è un modo eccellente per aiutare gli utenti e risolvere i problemi dei dispositivi da qualsiasi luogo, ma il livello di accesso che fornisce può diventare una minaccia senza una soluzione sicura e aggiornata. I team IT dovrebbero prendersi il tempo di verificare se sono esposti, confermare lo stato delle loro patch e valutare se i loro strumenti di supporto remoto forniscono la sicurezza e il controllo di cui hanno bisogno.

Se il tuo attuale strumento di supporto remoto non fornisce la visibilità, il controllo degli accessi e i flussi di lavoro di gestione degli endpoint di cui il tuo team ha bisogno, potrebbe essere il momento di valutare un approccio più sicuro e snello.

Scopri come Splashtop aiuta i team IT a fornire supporto remoto sicuro e gestione degli endpoint da un'unica piattaforma. Inizia oggi la tua prova gratuita.

Prova subito!
Prova Splashtop AEM gratuitamente oggi
Prova gratuita


Condividi
Feed RSSIscriviti

Domande frequenti

Che cos'è CVE-2024-1708?
Perché la vulnerabilità di ScreenConnect è importante per i team IT?
Perché gli strumenti di supporto remoto sono bersagli di alto valore?
Basta la patching per ridurre il rischio di supporto remoto?
Come aiuta Splashtop con la sicurezza dell'assistenza remota?
Come aiuta Splashtop AEM a ridurre il rischio degli endpoint?

Contenuti correlati

A Windows and Mac computer side-by-side.
Patch Management

Come semplificare il patching multi-piattaforma per Windows e macOS

Ulteriori informazioni
A work computer on a desk.
Patch Management

Come prevenire patch mancanti su endpoint

Ulteriori informazioni
MSP technician working at his computer.
Patch Management

Come gli MSP possono scalare la gestione delle patch

Ulteriori informazioni
A group of employees using their computers in an office.
Patch Management

Come dare priorità alla gestione delle patch: patching basato sul rischio

Ulteriori informazioni
Visualizza tutti i blog