ConnectWise hat Software-Updates veröffentlicht, um zwei Sicherheitslücken in seiner ScreenConnect Remote-Desktop- und Zugangssoftware zu beheben, darunter eine kritische Schwachstelle, die die Ausführung von Remote-Code auf betroffenen Systemen ermöglichen könnte. Die Schwachstellen, die derzeit keine CVE-Identifikatoren haben, sind:
– Authentifizierungsumgehung mit einem alternativen Pfad oder Kanal (CVSS-Score: 10,0)
– Unzureichende Begrenzung eines Verzeichnispfads auf ein eingeschränktes Verzeichnis, auch bekannt als „Pfadtraversierung“ (CVSS-Score: 8,4)
Das Unternehmen stuft die Schwere der Probleme als kritisch ein und gibt an, dass sie „die Möglichkeit bieten könnten, Remote-Code auszuführen oder vertrauliche Daten oder kritische Systeme direkt zu beeinträchtigen“.
Beide Schwachstellen betreffen ScreenConnect-Versionen 23.9.7 und früher, mit Fixes in Version 23.9.8 verfügbar. Die Fehler wurden dem Unternehmen am 13. Februar 2024 gemeldet. Obwohl es keine Beweise dafür gibt, dass die Schwachstellen in freier Wildbahn ausgenutzt wurden, wird Benutzern, die selbst gehostete oder lokale Versionen nutzen, dringend empfohlen, so schnell wie möglich auf die neueste Version zu aktualisieren.
„ConnectWise wird auch aktualisierte Versionen von Releases 22.4 bis 23.9.7 für das kritische Problem bereitstellen, empfiehlt jedoch dringend, dass Partner auf ScreenConnect-Version 23.9.8 aktualisieren“, sagte ConnectWise.