當一個新的漏洞被發現時,IT 和安全團隊需要快速行動來對抗它。對於ConnectWise ScreenConnect的使用者來說,該時間就是現在,因為CVE-2024-1708漏洞正被積極利用。
CISA 在有證據顯示被積極利用後,將 CVE-2024-1708 加入其已知被利用的漏洞目錄。該漏洞具有 8.4 的高嚴重性 CVSS 分數,可能允許遠端執行程式碼或直接影響機密資料和重要系統
當遠端支援平台容易受到攻擊時,損害可能會延續到多個端點、伺服器和系統。因此,組織應該知道當發現此類漏洞時該怎麼辦。
ConnectWise ScreenConnect 發生了什麼事?
網路安全和基礎設施安全局 (CISA) 最近將兩個漏洞新增到已知被利用的漏洞 (KEV) 目錄中,其中包括 CVE-2024-1708。這是影響ConnectWise ScreenConnect 23.9.7及之前版本的路徑遍歷漏洞。該漏洞可能允許攻擊者執行遠端代碼或直接影響機密數據和關鍵系統,使其成為具有 8.4 CVSS 分數的高嚴重性風險。
ConnectWise 已於 2024 年 2 月發布了漏洞修復。然而,CISA 的 KEV 更新顯示,未打補丁的例仍然是一個當前的安全問題。
CVE-2024-1708 也被觀察到在利用活動中涉及 CVE-2024-1709,這是一個 CVSS 分數為 10.0 的嚴重 ScreenConnect 驗證繞過漏洞。總而言之,這些漏洞進一步強調了 ScreenConnect 使用者應確認修補狀態並檢查其環境是否有曝光跡象的必要性。
為什麼 ScreenConnect 的漏洞利用對 IT 團隊很重要
任何軟體漏洞都是值得減輕的威脅,特別是那些有積極利用證據的漏洞。對於遠端支援軟體來說,風險甚至比乍看之下更為嚴重。
遠端支援工具可以連接技術人員到系統,提供管理存取權限,並在各種環境中管理臨機和主動裝置。因此,它們是攻擊者的高價值目標,因為成功攻破該工具可以提供對多個端點的存取。
考量到受損的遠端支援可能造成的損害,ScreenConnect 漏洞的利用提醒我們確保遠端支援軟體安全的重要性。IT 團隊需要保持補丁更新,維持存取治理,啟用審計記錄,並快速識別暴露的軟體,以便及時處理,否則可能會讓多個用戶和裝置承受風險。
為什麼 CVE-2024-1708 如此重要?
外面的漏洞可不少,但其嚴重程度可能有很大差異。CVE-2024-1708 的 CVSS 分數為 8.4,被評為「高」嚴重性漏洞,但是什麼使它如此關鍵呢?
若干因素使該漏洞對 IT 團隊在操作上極為重要:
1.它影響遠端支援平台
如前所述,影響遠端支援平台的漏洞可能會產生深遠的影響,因為這些平台用於管理其他系統。當遠端支援軟體被入侵時,通常它已經被部署、信任並與特權工作流程綁定,這使得攻擊者可以輕易在連接的裝置上肆無忌憚地行動。
內部暴露的遠端支援工具可能成為進入更�廣泛IT作業的入口,將整個網路置於風險之中。
2. 它已被與一個關鍵的驗證漏洞鏈接
單一弱點本身就可能構成威脅,但當它與另一個更為關鍵的弱點結合時,這種威脅可能會指數級上升。在這種情況下,CVE-2024-1708 與 CVE-2024-1709,一個 CVSS 分數為 10.0 的關鍵驗證繞過漏洞,已經被串連在一起。
因此,如果不解決這兩個漏洞,威脅可能會迅速從「高」升級到「危急」。IT 團隊需要在上下文中評估漏洞,因為多重攻擊可能帶來更大的威脅。
3. 漏洞利用已被鏈接至勒索軟體活動
各種利用行為可能會帶來不同的後果,但CVE-2024-1708漏洞已經被連結到勒索軟體攻擊,這使得其成為一個高優先級威脅。勒索軟體可以鎖定整個網路或系統,直到贖金被支付,導致金錢、生產力和客戶信任的重大損失。因此,一個能夠被積極利用並可能導致勒索軟體攻擊的漏洞必須被列為高優先級。
4. 舊有的弱點仍然可能是高優先事項
漏洞即使過時了,也不代表不再成為威脅。CVE-2024-1708 已在 2024 年 2 月修正,但如果沒有妥善減輕,仍可能被積極利用。
往往,漏洞管理集中於最新的威脅和最近的揭露。然而,舊的威脅依然存在,因此 IT 團隊需要能見度來查看其伺服器、端點或基礎架構中可能仍然存在的舊有漏洞,特別是如果這些漏洞仍在被利用的情況下。
使用 ScreenConnect 的 IT 團隊應檢查什麼
如果您的公司使用ConnectWise ScreenConnect,您可能在想該做些什麼以確保不會成為這個漏洞的受害者。我們已經彙編了一份有用的清單,列出您可以採取的步驟來保護您的網路和設備:
確認您的環境中是否部署��了 ScreenConnect: 首先應該識別您可能正在運行的所有雲端、本地、自託管和遺留的 ScreenConnect 實例。這將確保您查看正確的裝置,不會錯過任何場合。
檢查每個實例上運行的版本:即使您正在使用 ScreenConnect,其版本也可能不在風險範圍內。檢查並確認是否有任何 ScreenConnect 部署正在執行受 CVE-2024-1708(或任何相關的 ScreenConnect 漏洞)影響的版本。
驗證修補狀態: 如果您的裝置已正確修補,您可能已經是安全的。下一步應檢查您的修補狀態,並確認更新已成功套用(而不只是排程或預設為完成)。
檢查網路曝光: 確認任何 ScreenConnect 實例、伺服器或管理介面是否可從外部連接。如果是,請確認存取是受限制的、已修補的、受監控的,並且僅限於授權的管理員。
檢視管理使用者和權限:舊帳戶保留存取權限可能會成為重大網路安全漏洞。請務必檢查不必要的管理員帳戶、過期用戶、過多的權限,以及任何缺少多重驗證 (MFA) 的帳戶,這些可能會被危害。
檢查日誌以偵測可疑活動: 檢查日誌可以幫助識別是否有任何帳號已被入侵。尋找意外的連線、未知的使用者、設定變更、新帳號或任何可能顯示惡意行為者的異常存取模式。
評估下游影響:識別攻擊的潛在影響也很重要,尤其是如果您管理多個裝置。支援多個環境的 MSP 和 IT 團隊應確認客戶或受管端點是否可能受影響,並採取措施加以保護。
文件修復步驟: 保持清晰的文件記錄是非常重要的。記錄已檢查、更新與審核的事項,並保留證據以供稽核或事件回應之用�。
這對遠端支援安全性的意義
如果你想避免 CVE-2024-1708 及其他類似威脅,提供良好的安全性給遠端支援軟體是不可或缺的。透過強大安全功能和終端管理,您可以增強對漏洞和攻擊的防禦,但這需要策略和規劃。
安全遠端支援策略應考量以下幾點:
修補速度和更新可靠性,最好包括補丁自動化。
集中化管理裝置及其上部署的軟體的可見性。
強驗證,包括多因素驗證 (MFA) 和單一簽入 (SSO),在適當的情況下。
精細控制技術人員權限和基於角色的存取控制 (RBAC) 以控制誰可以存取什麼。
連線記錄和稽核追蹤,以維持責任歸屬並識別可疑活動。
安全主動存取控制。
清楚了解哪些裝置可以被遠端存取。
當漏洞影響遠端支援基礎設施時的快速響應工作流程。
遠端支援、端點能見度與修補程式修復之間的整合,以改善工作流程並將所有內容集中在一個地方。
評估遠端支援工具時要問的問題
安全遠端支援需要具備強大存取控制、清晰的可見性、可靠的修補,以及符合審計準備的日誌記錄的解決方案。雖然市場上有許多遠端支援工具,但評估您的選擇並確定哪些符合您的所有需求是很重要的。
在考慮遠端支援軟體時,請注意以下事項:
管理員可以強制執行雙重驗證、單一登入和精細存取權限嗎?
技術人員的存取可以被限制嗎?如果是,是否受使用者、群組、裝置或角色限制?
可以查看和稽核連線記錄檔嗎?
主動存取可以被控制並限制授權使用者嗎?
安全更新可以多快被測試、部署和驗證?
IT 團隊能否識別其環境中的過時軟體?
此平台是否支援跨分散式、混合和遠端端點的可見性?
IT 團隊能否管理修補和修復工作流程而無需手動跟進?
該解決方案是否將遠端支援與端點管理功能結合起來?
Splashtop 如何幫助 IT 團隊強化遠端支援安全性
如果您希望賦權給您的 IT 團隊來支援分散環境中的使用者和端點,您需要一個強大且安全的遠端支援解決方案和端點管理。幸運的是,Splashtop 正好可以提供這個功能。
Splashtop 為 IT 團隊提供所需的安全遠端存取與支援,以便從世界各地管理遠端裝置,並具備針對分散式遠端和混合工作環境設計的集中控管功能。使用它,團隊可以從一個地方管理用戶、裝置和權限,遠端存取裝置以便實地解決問題,並維持他們需要的可見性來支援遠端環境。
使用 Splashtop AEM(自主端點管理),IT 團隊可以透過自動威脅偵測、修補程式管理等功能來支援其網路上的裝置。Splashtop AEM 從單一使用者友好的儀錶板提供即時修補、基於 CVE 的見解、基於原則的自動化以及端點跨整體可見性。這有助於 IT 團隊從被動轉為主動,提升各裝置的安全性。
Splashtop 包含:
跨作業系統和裝置的安全遠端存取和遠端支援。
集中管理控制和精細權限,使管理變得簡單高效。
SSO/SAML、多因素驗證 (MFA)、登入紀錄和錄製選項,讓每次連線都能保持安全。
Splashtop AEM 用於跨作業系統和第三方應用程式的即時補丁管理。
端點詳細目錄與報告,幫助一目瞭然識別易受攻擊的軟體。
基於 CVE 的威脅檢測和深入分析,以支持修補程序的優先排序。
一對多動作和自動化以減少重複的手動工作。
集中化的儀錶板提供補丁狀態、端點健康狀況和審核準備的可視性。
搶先防範漏洞
ConnectWise ScreenConnect 的漏洞是關於遠端支援平台需具備強大安全性的嚴峻提醒。這些是關鍵的 IT 基礎設施,應如此對待,維持強健的存取控制、可靠的修補和清晰的端點可見性。
遠端支援是一種絕佳的方式,可以隨時隨地協助使用者並排除裝置故障,但若沒有安全、最新的解決方案,其提供的存取層級可能成為威脅。IT 團隊應花時間確認他們是否已暴露,確認其修補狀態,並評估其遠端支援工具是否提供所需的安全性和控制。
如果您目前的遠端支援工具無法提供您的團隊所需的可見性、存取控制和端點管理工作流程,那麼可能是時候評估一個更安全和精簡的方法了。
了解 Splashtop 如何協助 IT 團隊從一個平台提供安全的遠端支援和端點管理。立即開始您的免費試用。
