Wanneer er een nieuwe kwetsbaarheid wordt ontdekt, moeten IT- en beveiligingsteams snel handelen om zich ertegen te beschermen. Voor gebruikers van ConnectWise ScreenConnect is dat moment nu aangebroken, aangezien de CVE-2024-1708 kwetsbaarheid actief wordt uitgebuit.
CISA heeft CVE-2024-1708 toegevoegd aan zijn catalogus van Bekende Geëxploiteerde Kwetsbaarheden na bewijs van actieve exploitatie. De kwetsbaarheid heeft een hoge CVSS-score van 8.4 en kan leiden tot uitvoering van externe code of direct invloed hebben op vertrouwelijke gegevens en kritieke systemen
Wanneer platforms voor remote support kwetsbaar zijn voor aanvallen, kan de schade zich uitstrekken tot meerdere eindpunten, servers en systemen. Bijgevolg zouden organisaties moeten weten wat te doen wanneer dergelijke kwetsbaarheden worden ontdekt.
Wat is er gebeurd met ConnectWise ScreenConnect?
De Cybersecurity and Infrastructure Security Agency (CISA) heeft onlangs twee kwetsbaarheden toegevoegd aan de catalogus Bekende Geëxploiteerde Kwetsbaarheden (KEV), waaronder CVE-2024-1708. Dit is een path traversal kwetsbaarheid die ConnectWise ScreenConnect 23.9.7 en eerder beïnvloedt. De kwetsbaarheid kan aanvallers toestaan om externe code uit te voeren of direct invloed uit te oefenen op vertrouwelijke gegevens en kritieke systemen, waardoor het een hoog-risico bedreiging is met een CVSS-score van 8,4.
ConnectWise heeft in februari 2024 oplossingen voor de kwetsbaarheid uitgebracht. Echter, de update van CISA’s KEV toont aan dat niet-gepatchte gevallen nog steeds een actueel beveiligingsprobleem vormen.
CVE-2024-1708 is ook waargenomen in exploitactiviteiten waarbij CVE-2024-1709 betrokken is, een kritieke ScreenConnect-authenticatieomzeilingskwetsbaarheid met een CVSS-score van 10,0. Samen versterken deze kwetsbaarheden waarom ScreenConnect-gebruikers de patchstatus moeten bevestigen en hun omgevingen moeten controleren op tekenen van blootstelling.
Waarom de ScreenConnect-exploitatie belangrijk is voor IT-teams
Elke softwarekwetsbaarheid is een bedreiging die het waard is om te verminderen, vooral die welke bewijs hebben van actieve exploitatie. En voor remote support software kan het risico nog ernstiger zijn dan het op het eerste gezicht lijkt.
Remote support tools kunnen technici verbinden met systemen, administratieve toegang bieden en zowel attended als unattended apparaten beheren in verschillende omgevingen. Zo vormen ze waardevolle doelen voor aanvallers, aangezien een succesvolle compromis van het hulpmiddel toegang tot meerdere eindpunten kan verschaffen.
Gezien de schade die gecompromitteerde remote support kan veroorzaken, dient de exploitatie van de ScreenConnect-kwetsbaarheid als een sterke herinnering aan het belang van het beveiligen van remote support software. IT-teams moeten ervoor zorgen dat patches up-to-date zijn, toegangsgovernance handhaven, auditlogging inschakelen en snel blootgestelde software identificeren zodat ze deze kunnen aanpakken, anders riskeren ze meerdere gebruikers en apparaten in gevaar te brengen.
Waarom is CVE-2024-1708 Vooral Belangrijk?
Er is geen tekort aan kwetsbaarheden, maar de ernst ervan kan aanzienlijk variëren. Met een CVSS-score van 8.4, wordt CVE-2024-1708 geclassificeerd als een 'Hoge' ernst kwetsbaarheid, maar wat maakt het zo kritiek?
Verschillende factoren maken deze kwetsbaarheid operationeel belangrijk voor IT-teams:
1. Het beïnvloedt een platform voor remote support
Zoals vermeld kunnen kwetsbaarheden die remote support platforms beïnvloeden verstrekkende gevolgen hebben, omdat deze platforms worden gebruikt om andere systemen te beheren. Wanneer een remote support-oplossing wordt gecompromitteerd, is deze meestal al ingezet, vertrouwd en gekoppeld aan bevoorrechte workflows, waardoor het voor aanvallers eenvoudig is om zich ongehinderd te bewegen op aangesloten apparaten.
Een blootgesteld remote support-tool kan een toegangspunt creëren tot bredere IT-operaties, waardoor hele netwerken in gevaar komen.
2. Het is gekoppeld aan een kritieke authenticatie-omzeiling
Een kwetsbaarheid op zichzelf kan een bedreiging vormen, maar wanneer het wordt gecombineerd met een andere, nog kritiekere kwetsbaarheid, kan die bedreiging exponentieel escaleren. In dit geval is CVE-2024-1708 gecombineerd met CVE-2024-1709, een kritieke authenticatie-bypass kwetsbaarheid met een CVSS-score van 10,0.
Als gevolg daarvan kan de dreiging snel toenemen van 'Hoog' naar 'Kritiek' als de twee kwetsbaarheden niet worden aangepakt. IT-teams moeten kwetsbaarheden in context beoordelen, omdat gecombineerde aanvallen nog grotere bedreigingen kunnen vormen.
3. Exploitatie is gekoppeld aan ransomware-activiteit
Verschillende uitbuitingen kunnen verschillende gevolgen hebben, maar de CVE-2024-1708-kwetsbaarheid is in verband gebracht met ransomware-aanvallen, waardoor het een bedreiging met hoge prioriteit is. Ransomware kan volledige netwerken of systemen blokkeren totdat het losgeld is betaald, wat leidt tot aanzienlijke verliezen van geld, productiviteit en klantenvertrouwen. Als zodanig moet een actief uitgebuite kwetsbaarheid die kan leiden tot ransomware-aanvallen een hoge prioriteit hebben.
4. Oudere kwetsbaarheden kunnen een hoge prioriteit blijven
Alleen omdat een kwetsbaarheid oud is, betekent het niet dat het geen bedreiging meer is. CVE-2024-1708 werd gerepareerd in februari 2024, maar kan nog steeds actief worden misbruikt als het niet goed wordt afgezwakt.
Te vaak richt kwetsbaarheidsbeheer zich op de nieuwste dreigingen en meest recente openbaarmakingen. Oude dreigingen blijven echter bestaan, dus IT-teams hebben inzicht nodig in oudere kwetsbaarheden die mogelijk nog steeds aanwezig zijn in hun servers, eindpunten of infrastructuur, vooral als ze nog steeds worden misbruikt.
Wat IT-teams die ScreenConnect gebruiken, moeten controleren
Als jouw bedrijf ConnectWise ScreenConnect gebruikt, vraag je je misschien af wat je moet doen om ervoor te zorgen dat je geen slachtoffer bent van deze exploitatie. We hebben een handige checklist samengesteld met stappen die je kunt nemen om je netwerk en apparaten te beschermen:
Bevestig of ScreenConnect in uw omgeving is geïmplementeerd: De eerste stap zou moeten zijn om alle cloud-, on-premise-, zelf-gehoste en legacy-instanties van ScreenConnect te identificeren die u mogelijk draait. Dit zorgt ervoor dat je naar de juiste apparaten kijkt en geen enkele instantie mist.
Controleer de versie die op elke instantie draait: Zelfs als je ScreenConnect draait, is het misschien een versie die geen risico loopt. Controleer en bevestig of een ScreenConnect-implementatie een versie gebruikt die getroffen is door CVE-2024-1708 (of andere gerelateerde ScreenConnect-kwetsbaarheden).
Controleer patchstatus: Als uw apparaten goed zijn gepatcht, bent u mogelijk al veilig. Je volgende stap zou moeten zijn om je patchstatus te controleren en te bevestigen dat updates succesvol zijn toegepast (en niet alleen gepland of aangenomen als voltooid).
Controleer internetblootstelling: Bepaal of een ScreenConnect-instantie, server of beheerinterface extern bereikbaar is. Als dat zo is, bevestig dan dat de toegang is beperkt, gepatcht, gecontroleerd en alleen voorbehouden aan geautoriseerde beheerders.
Controleer beheerdersgebruikers en machtigingen: Oude accounts die toegangsmachtigingen behouden, kunnen een grote kwetsbaarheid voor de cyberbeveiliging zijn. Zorg ervoor dat u controleert op onnodige beheerdersaccounts, verlopen gebruikers, overmatige privileges en eventuele accounts zonder Multi-Factor Authentication (MFA) die mogelijk gecompromitteerd kunnen worden.
Controleer logs op verdachte activiteiten: Het inspecteren van logs kan helpen bij het identificeren of er al accounts zijn gecompromitteerd. Let op onverwachte sessies, onbekende gebruikers, configuratiewijzigingen, nieuwe accounts of andere abnormale toegangspatronen die op een kwaadwillende kunnen duiden.
Evalueer de downstream-impact: Het is ook belangrijk om de potentiële impact van een aanval te identificeren, vooral als je meerdere apparaten beheert. MSP's en IT-teams die meerdere omgevingen ondersteunen, moeten nagaan of klant- of beheerde endpoints kunnen worden beïnvloed en stappen nemen om ze te beschermen.
Documentherstelstappen: Heldere documentatie is essentieel. Leg vast wat werd gecontroleerd, bijgewerkt en beoordeeld, en bewaar bewijs voor audits of incidentrespons.
Wat Dit Betekent voor de Beveiliging van Remote Support
Als je CVE-2024-1708 en andere soortgelijke bedreigingen wilt vermijden, is goede beveiliging voor je remote support software essentieel. Met sterke beveiligingsfuncties en endpointbeheer kun je je verdediging tegen kwetsbaarheden en aanvallen verbeteren, maar dit vereist strategie en planning.
Een veilige strategie voor remote support moet rekening houden met:
Snelheid van patching en betrouwbaarheid van updates, bij voorkeur inclusief automatische patching.
Gecentraliseerd inzicht in apparaten en de software die daarop is geïnstalleerd.
Sterke authenticatie, inclusief MFA en Single Sign-On (SSO) waar van toepassing.
Gedetailleerde technicus permissies en rol gebaseerde toegangscontroles (RBAC) om te controleren wie toegang heeft tot wat.
Sessie logging en audit trails om verantwoordelijkheid te behouden en verdachte activiteiten te identificeren.
Veilige onbemande toegangscontroles.
Duidelijke zichtbaarheid van welke apparaten op afstand toegankelijk zijn.
Snelle reactieworkflows voor als/wanneer een kwetsbaarheid de remote support-infrastructuur beïnvloedt.
Integratie tussen remote support, endpointzichtbaarheid en patchremediëring om workflows te verbeteren en alles op één plek te houden.
Vragen die je kunt stellen bij het evalueren van Remote Support Tools
Veilige remote support vereist een oplossing met sterke toegangscontrole, duidelijke zichtbaarheid, betrouwbare patching en logging die klaar is voor audits. Hoewel er veel remote support-tools op de markt zijn, is het belangrijk om je opties te evalueren en te bepalen welke aan al je behoeften voldoen.
Bij het bekijken van software voor remote support, overweeg het volgende:
Kunnen beheerders MFA, SSO en gedetailleerde toegangsrechten afdwingen?
Kan de toegang van de technicus worden beperkt? Is het in dat geval beperkt tot gebruiker, groep, apparaat of rol?
Zijn sessielogs beschikbaar voor beoordeling en audit?
Kan ongecontroleerde toegang worden beheerd en beperkt tot geautoriseerde gebruikers?
Hoe snel kunnen beveiligingsupdates worden getest, geïmplementeerd en geverifieerd?
Kunnen IT-teams verouderde software in hun omgeving identificeren?
Ondersteunt het platform zichtbaarheid over verspreide, hybride en externe endpoints?
Kunnen IT-teams het beheer van patch- en herstelworkflows regelen zonder dat ze handmatig hoeven na te volgen?
Combineert de oplossing remote support met mogelijkheden voor endpointbeheer?
Hoe Splashtop IT-teams helpt om de beveiliging van Remote Support te versterken
Als je jouw IT-teams wilt versterken om gebruikers en eindpunten in een verspreide omgeving te ondersteunen, heb je een robuuste en veilige oplossing voor remote support en eindpuntbeheer nodig. Gelukkig kan Splashtop precies dat bieden.
Splashtop biedt IT-teams de veilige remote access en support die ze nodig hebben om remote devices overal te beheren, met gecentraliseerde controles speciaal gebouwd voor gedistribueerde remote en hybride werkomgevingen. Hiermee kunnen teams gebruikers, apparaten en rechten beheren vanuit één plek, apparaten op afstand benaderen voor hands-on probleemoplossing en de benodigde zichtbaarheid behouden om externe omgevingen te ondersteunen.
Met Splashtop AEM (Autonomous Endpoint Management) kunnen IT-teams apparaten in hun netwerk ondersteunen met geautomatiseerde dreigingsdetectie, patchbeheer en meer. Splashtop AEM biedt real-time patching, CVE-gebaseerde inzichten, beleidsgestuurde automatisering en zichtbaarheid over eindpunten, alles vanaf een gebruiksvriendelijk dashboard. Dit helpt IT-teams om van reactief naar proactief te gaan, waardoor de beveiliging van apparaten verbetert.
Splashtop bevat:
Veilige externe toegang en ondersteuning op afstand voor verschillende besturingssystemen en apparaten.
Gecentraliseerde beheerderscontroles en gedetailleerde machtigingen om beheer eenvoudig en efficiënt te maken.
SSO/SAML, MFA, loggen en opnamemogelijkheden om elke sessie veilig te houden.
Splashtop AEM voor realtime patchbeheer over besturingssystemen en toepassingen van derden.
Endpointinventarisatie en rapportage om in één oogopslag kwetsbare software te identificeren.
CVE-gebaseerde dreigingsdetectie en inzichten ter ondersteuning van het prioriteren van patches.
1-op-veel acties en automatisering om repetitief handmatig werk te verminderen.
Gecentraliseerde dashboards die inzicht geven in de patchstatus, endpointgezondheid en auditgereedheid.
Blijf Voor op Kwetsbaarheden
De ConnectWise ScreenConnect-kwetsbaarheid is een duidelijke herinnering aan de noodzaak van robuuste beveiliging voor platforms voor remote support. Dit zijn cruciale IT-infrastructuren en moeten als zodanig worden behandeld, met sterke toegangscontroles, betrouwbare patching en duidelijke zichtbaarheid van eindpunten.
Remote support is een uitstekende manier om gebruikers te helpen en apparaten op afstand te troubleshooten, maar het niveau van toegang dat het biedt kan een bedreiging worden zonder een veilige, actuele oplossing. IT-teams moeten de tijd nemen om te verifiëren of ze kwetsbaar zijn, hun patchstatus bevestigen en evalueren of hun tools voor remote support de veiligheid en controle bieden die ze nodig hebben.
Als je huidige remote support tool niet de benodigde zichtbaarheid, toegangsbewaking en endpointbeheerworkflows biedt die je team nodig heeft, is het misschien tijd om een meer veilige en gestroomlijnde aanpak te overwegen.
Ontdek hoe Splashtop IT-teams helpt om veilige remote support en endpointbeheer vanuit één platform te leveren. Begin vandaag uw gratis proefperiode.
