当新漏洞被发现时,IT 和安全团队需要迅速采取行动进行保护。对于ConnectWise ScreenConnect用户来说,现在正是时候,因为CVE-2024-1708漏洞正在被积极利用。
在有证据显示被积极利用之后,CISA 将 CVE-2024-1708 添加到已知利用漏洞目录中。该漏洞具有8.4的高严重性CVSS评分,可能允许远程代码执行,或直接影响机密数据和关键系统
当远程支持平台容易受到攻击时,损害可能扩展到多个终端、服务器和系统。因此,组织应该知道在发现此类漏洞时应该怎么做。
ConnectWise ScreenConnect 发生了什么?
网络安全和基础设施安全局 (CISA) 最近将两个漏洞添加到已知被利用漏洞 (KEV) 目录中,包括 CVE-2024-1708。这是一个影响ConnectWise ScreenConnect 23.9.7及之前版本的路径遍历漏洞。该漏洞可能允许攻击者执行远程代码或直接影响机密数据和关键系统,使其成为一个高严重性风险,CVSS评分为8.4。
ConnectWise 于 2024 年 2 月发布了针对该漏洞的修复措施。然而,CISA 的 KEV 更新显示,未打补丁的实例仍然是当前的安全隐患。
CVE-2024-1708 还在涉及 CVE-2024-1709 的利用活动中被观察到,这是一种严重的 ScreenConnect 身份验证绕过漏洞,CVSS 得分为 10.0。总之,这些漏洞进一步强调了ScreenConnect用户为什么应确认补丁状态,并检查他们的环境是否有暴露的迹象。
为什么 ScreenConnect 的利用对 IT 团队很重要
任何软件漏洞都是值得降低的威胁,特别是那些有活跃利用证据的漏洞。对于远程支持软件,风险可能比初看起来更严重。
远程支持工具可以连接技术人员到系统,提供管理访问权限,并在各种环境中管理有人值守和无人值守的设备。因此,它们是攻击者的高价值目标,因为成功攻陷该工具可以访问多个端点。
鉴于被破坏的远程支持可能造成的损害,ScreenConnect漏洞的利用提醒我们,确保远程支持软件安全的重要性。IT 团队需要保持补丁的更新,维护访问治理,启用审计日志,并快速识别暴露的软件以便进行处理,否则可能会让多个用户和设备处于风险中。
是什么让 CVE-2024-1708 尤为重要?
外面的漏洞层出不穷,但其严重程度可能差异很大。CVE-2024-1708 的 CVSS 分数为 8.4,被评为“高”严重性漏洞,但是什么导致它如此关键呢?
几个因素使得这一漏洞对IT团队在操作上非常重要:
1.它影响一个远程支持平台
如前所述,影响远程支持平台的漏洞可能会造成深远的影响,因为这些平台用于管理其他系统。当远程支持解决方案被攻破时,它通常已经部署、被信任,并绑定到特权工作流,这使得攻击者很容易在连接的设备上肆意横行。
暴露的远程支持工具可能成为进入更��广泛的IT操作的入口,从而使整个网络面临风险。
2. 它已与一个关键的身份验证绕过链接
单一漏洞本身可能构成威胁,但当与另一个更严重的漏洞结合时,该威胁可能呈指数级升级。在这种情况下,CVE-2024-1708 被与 CVE-2024-1709 链接在一起,后者是一个具有 10.0 CVSS 得分的关键身份验证绕过漏洞。
因此,如果这两个漏洞不解决,威胁可能很快从“高”增加到“关键”。IT 团队需要在上下文中评估漏洞,因为组合攻击可能带来更大的威胁。
3. 漏洞利用与勒索软件活动有联系
各种漏洞利用可能会产生不同的后果,但CVE-2024-1708漏洞已被关联到勒索软件攻击,使其成为高优先级威胁。勒索软件可以锁定整个网络或系统,直到赎金支付为止,这会导致资金、生产力和客户信任的重大损失。因此,能够导致勒索软件攻击的被积极利用的漏洞需要成为高优先级。
4. 较旧的漏洞仍可能是高优先级
仅仅因为一个漏洞很老并不意味着它不再是威胁。CVE-2024-1708 在 2024 年 2 月已修复,但如果未正确缓解,仍可能被积极利用。
通常情况下,漏洞管理过于关注最新的威胁和最近的披露。然而,旧的威胁仍然存在,因此 IT 团队需要了解服务器、端点或基础设施中可能仍然存在的旧漏洞,尤其是在这些漏洞仍然被利用的情况下。
使用ScreenConnect的IT团队应该检查的事项
如果您的公司使用ConnectWise ScreenConnect,您可能想知道如何确保自己不会成为此次漏洞的受害者。我们整理了一份实用的清单,列出了保护你的网络和设备可以采取的步骤:
确认ScreenConnect是否已在您的环境中部署: 首先需要�识别您可能正在运行的所有云端、本地、自托管和旧版ScreenConnect实例。这将确保您查看正确的设备,不会错过任何实例。
检查每个实例上运行的版本:即使您运行的是ScreenConnect,它也可能是一个没有风险的版本。检查并确认是否有任何ScreenConnect部署运行受CVE-2024-1708(或任何相关的ScreenConnect漏洞)影响的版本。
验证补丁状态:如果您的设备已正确打补丁,您可能已经是安全的。下一步,您应该检查补丁状态并确认更新已成功应用(而不仅仅是计划或假定完成)。
检查网络曝露: 确定是否有任何 ScreenConnect 实例、服务器或管理界面是外部可访问的。如果是,请确认访问受到限制、已打补丁、被监控,并仅限于授权管理员。
审查管理员用户和权限:保留访问权限的旧账户可能是一个主要的网络安全漏洞。请务必检查不必要的管理员账户、不活跃的用户、过多的权限,以及任何可能被入侵的缺少多因素身份验证(MFA)的账户。
检查日志中的可疑活动: 检查日志可以帮助识别是否有账户已被泄露。注意查找意外的会话、未知用户、配置更改、新账户或任何可能表明恶意行为者的异常访问模式。
评估下游影响:确定攻击的潜在影响同样重要,特别是当你管理多个设备时。支持多种环境的MSPs和IT团队应验证客户或管理的终端是否可能受影响,并采取措施保护它们。
文档修复步骤: 保持清晰的文档是至关重要的。记录已检查、更新和审查的内容,并为审计或事件响应保留证据。
这对远程支持安全意味着什么
如果想避免 CVE-2024-1708 及其他类似威胁,远程支持软件具备良好的安全性至关重要。借助强大的安全功能和端点管理,您可以提升对漏洞和攻击的防御能力,但这需要策略与规划。
一个安全的远程支持策略应考虑:
补丁速度和更新可靠性,最好包括补丁自动化。
集中可视化设备及其上部署的软件。
强身份验证,包括适用时的MFA和单点登录(SSO)。
精细技术员权限和基于角色的访问控制(RBAC)以控制谁可以访问哪些内容。
会话日志和审计追踪以保持责任意识并识别可疑活动。
安全的无人值守访问控制。
清楚地了解哪些设备可以被远程访问。
快速响应工作流,以应对远程支持基础设施遭受漏洞影响时的情况。
集成远程支持、端点可见性和补丁修复,以改善工作流程,并将所有内容集中在一个地方。
评估远程支持工具时要问的问题
安全的遠程支持需要一個具備強大訪問控制、清晰可見性、可靠的補丁管理以及審計準備記錄的解決方案。虽然市场上有许多远程支持工具,但重要的是评估您的选项并确定哪些工具能够满足您的所有需求。
在查看远程支持软件时,请考虑以下几点:
管理员可以强制执行MFA、SSO和精细访问权限吗?
可以限制技术人员的访问吗?如果是,它是否受到用户、组、设备或角色的限制?
会话日志可供审核和审计吗?
无�人值守访问是否可以仅限于授权用户操作和控制?
安全更新能够多快被测试、部署和验证?
IT团队可以识别其环境中的过时软件吗?
该平台是否支持跨分布式、混合和远程终端的可见性?
IT 团队是否可以在不需要手动跟进的情况下管理补丁和修复工作流程?
该解决方案是否结合了远程支持与端点管理功能?
Splashtop 如何帮助 IT 团队加强远程支持安全性
如果你想增强你的IT团队在分布式环境中支持用户和终端的能力,你需要一个强大且安全的遠端電腦支援解决方案和终端管理。幸运的是,Splashtop 正好能提供这些。
Splashtop为IT团队提供他们所需的安全远程访问和支持,方便他们从任何地方管理远程设备,并具备为分布式远程及混合工作环境量身打造的集中控制。借助此工具,团队可以从一个地方管理用户、设备和权限,远程访问设备进行动手故障排除,并保持他们所需要的可见性以支持远程环境。
使用 Splashtop AEM(自主终端管理),IT 团队可以通过自动威胁检测、补丁管理等功能支持其网络中的设备。Splashtop AEM 提供实时补丁、基于 CVE 的洞察、基于策略的自动化以及端点的可见性,所有这些都来自一个用户友好的仪表盘。这有助于IT团队从被动转向主动,提高设备的整体安全性。
Splashtop 包含:
跨操作系统和设备的安全远程访问和远程支持。
集中管理控制和精细权限使管理变得简单高效。
SSO/SAML、MFA、�日志记录及录制选项以确保每次会话安全。
Splashtop AEM 用于跨操作系统和第三方应用程序的实时补丁管理。
终端库存和报告,帮助一目了然地识别易受攻击的软件。
基于CVE的威胁检测和见解,以支持补丁优先级排序。
一对多操作和自动化,以减少重复的手动工作。
集中式仪表盘提供补丁状态、端点健康和审核准备的可视性。
抢先预防漏洞
ConnectWise ScreenConnect 的漏洞明确提醒了我们,远程支持平台需要强大的安全性。这些都是重要的IT基础设施,应该被同样对待,确保拥有强有力的访问控制、可靠的修补程序和清晰的端点可见性。
远程支持是一种帮助用户并从任何地方排除设备故障的绝佳方式,但如果没有安全、最新的解决方案,所提供的访问权限级别可能会成为威胁。IT 团队应该花时间确认他们是否存在暴露风险,确认补丁状态,并评估他们的遠端電腦支援工具是否提供所需的安全性和控制能力。
如果您当前的遠端電腦支援工具不能为您的团队提供所需的可见性、访问控制和终端管理工作流程,那么可能是时候评估一种更安全更简化的方法了。
了解 Splashtop 如何帮助 IT 团队从一个平台提供安全的远程支持和端点管理。立即开始您的免费试用。
