Comprendre CVE-2024-1709 et CVE-2024-1708 - La faille d'authentification qui a secoué la sécurité de l'accès à distance

Comprendre CVE-2024-1709 et CVE-2024-1708 - La faille d’authentification qui a secoué la sécurité de l’accès à distance

En février 2024, la communauté de la cybersécurité a assisté à l’une des divulgations de vulnérabilités les plus critiques de l’année lorsque ConnectWise a annoncé deux failles de sécurité graves affectant leur logiciel de bureau à distance ScreenConnect, dans les versions 23.9.7 et antérieures. Ces vulnérabilités, désignées CVE-2024-1709 et CVE-2024-1708, représentaient une tempête parfaite de faiblesses de sécurité que des groupes de ransomware ont rapidement exploitées à des fins destructrices.

Qu’est-ce qui a fait de CVE-2024-1709 une vulnérabilité parfaite 10 ?

CVE-2024-1709 a reçu la note maximale de 10.0 selon le score CVSS, ce qui en fait l’une des vulnérabilités les plus critiques découvertes dans les logiciels d’accès à distance. Cette faille d’évasion d’authentification exploitait une faiblesse fondamentale dans la façon dont ScreenConnect traitait les chemins URL, permettant aux attaquants de contourner totalement les contrôles de sécurité.

La gravité de la vulnérabilité venait de sa simplicité et de son impact dévastateur. En demandant simplement “/SetupWizard.aspx/literallyanything” avec n’importe quelle valeur de chemin supplémentaire, les acteurs malveillants pouvaient accéder à l’assistant d’installation sur des instances de ScreenConnect déjà configurées. Cela signifiait qu’ils pouvaient créer des comptes administrateur sur des systèmes compromis sans aucun besoin de crédentials.

La décomposition technique

La faille d’évasion d’authentification fonctionnait en exploitant la validation d’accès de ScreenConnect à son assistant d’installation. En conditions normales, l’assistant d’installation ne devrait être accessible qu’au moment de l’installation initiale. Cependant, des chercheurs ont découvert que cet assistant est responsable de la configuration de l’utilisateur administratif initial, et la création de l’utilisateur se produit immédiatement après avoir cliqué sur le bouton “Next”, sans nécessiter de compléter complètement l’assistant.

Ce qui rendait cela particulièrement dévastateur, c’est que terminer cette étape écrasait complètement la base de données interne des utilisateurs, en supprimant tous les autres utilisateurs locaux sauf celui spécifié dans l’assistant. En résumé, les attaquants pouvaient prendre le contrôle total d’une instance de ScreenConnect avec une simple requête HTTP.

Les chercheurs en sécurité ont surnommé cette chaîne de vulnérabilités “SlashAndGrab” en raison de sa méthode d’exploitation simple. Les exploits étaient décrits comme “trivials” et “ridiculement faciles”, ce qui les rendait accessibles même à des acteurs malveillants peu sophistiqués.

CVE-2024-1708 : La complice du chemin de traversée

Alors que CVE-2024-1709 a fait la une pour son score CVSS parfait, CVE-2024-1708 est une vulnérabilité de traversée de chemin avec un score CVSS de 8.4, affectant ScreenConnect 23.9.7 et versions antérieures. Bien que moins critique, cette vulnérabilité s’est avérée tout aussi grave lorsqu’elle était combinée avec l’évasion d’authentification.

Le défaut de traversée de chemin concernait une validation incorrecte lors de l’extraction de fichiers depuis des archives ZIP. Avant le correctif, une extension malveillante pouvait potentiellement écrire des fichiers n’importe où dans le répertoire ScreenConnect au lieu d’être limitée à leur sous-répertoire d’extension. Cette faiblesse permettait aux attaquants de placer du code malveillant dans des emplacements où il serait exécuté avec des privilèges SYSTEM.

La combinaison mortelle

Lorsqu’elles sont combinées, ces vulnérabilités créent une voie d’attaque complète. Un attaquant exploiterait d’abord CVE-2024-1709 pour obtenir un accès administratif, puis utiliserait CVE-2024-1708 pour exécuter du code à distance en téléchargeant des extensions malveillantes pour ScreenConnect. Une fois l’accès administratif obtenu, il est trivial de créer et de télécharger une extension malveillante pour obtenir une exécution de code à distance.

La réponse face au ransomware : exploitation dans le monde réel

La divulgation de ces vulnérabilités a déclenché une campagne d’exploitation immédiate et généralisée. CISA a ajouté CVE-2024-1709 à son Catalogue des vulnérabilités exploitées, sur la base de preuves d’exploitation active, soulignant la gravité de la menace.

Groupes de ransomware en action

Plusieurs opérations sophistiquées de ransomware ont rapidement intégré ces vulnérabilités à leur arsenal d’attaques. Les groupes Black Basta et Bl00dy ont été signalés pour avoir exploité la vulnérabilité, montrant à quelle vitesse les acteurs malveillants pouvaient pivoter vers de nouveaux vecteurs d’attaque.

Les chercheurs en sécurité ont observé diverses activités malveillantes après une exploitation réussie. Huntress a rapporté que des acteurs malveillants tentaient de déployer des charges utiles de ransomware, des mineurs de cryptomonnaies, et d’autres outils d’accès à distance comme Cobalt Strike Beacon après avoir obtenu l’accès aux appareils compromis.

Une particularité notable des attaques concernait le déploiement de variantes de ransomware. Les déploiements LockBit observés utilisaient un encryptor apparemment compilé autour du 13 septembre 2022, correspondant à la chronologie du générateur LockBit 3.0 divulgué publiquement. Cela suggère que les acteurs malveillants exploitaient des générateurs de ransomware leakés pour déployer rapidement des attaques via les vulnérabilités de ScreenConnect.

Sophos a rapporté avoir observé des charges utiles de ransomware construites à l’aide d’un générateur LockBit leaké, confirmant que des groupes de ransomware sophistiqués et des attaquants opportunistes exploitaient ces failles.

Menaces persistantes avancées (APT) en action

Au-delà des groupes de ransomware traditionnels, des acteurs étatiques ont également reconnu la valeur de ces vulnérabilités. Le groupe nord-coréen Kimsuky a utilisé la vulnérabilité pour distribuer le malware ToddleShark, une évolution de ses portes dérobées BabyShark et ReconShark, ciblant des entités gouvernementales et des think tanks dans le monde entier.

Impact mondial et exposition

L’étendue des victimes potentielles était stupéfiante. Au 21 février 2024, Unit 42 a observé 18 188 adresses IP uniques hébergeant ScreenConnect dans le monde entier. Cette exposition massive a créé une surface d’attaque énorme pour les acteurs malveillants.

La répartition géographique a révélé un risque concentré dans certaines régions. Des analyses antérieures montraient que près de trois quarts de ces hôtes se trouvaient aux États-Unis, les dix premiers pays représentant plus de 95 % de l’exposition mondiale. Cette concentration signifiait que les organisations américaines étaient particulièrement exposées.

La chronologie de l’exploitation a été remarquablement rapide. Le 21 février 2024, un code de preuve de concept exploitant ces vulnérabilités a été publié sur GitHub, permettant d’ajouter un nouvel utilisateur au système compromis. En quelques jours après la divulgation, des outils exploitant ces failles étaient disponibles publiquement.

Détection et indicateurs forensiques

Pour les organisations cherchant à déterminer si elles ont été compromises, les chercheurs en sécurité ont identifié plusieurs indicateurs clés. Il est recommandé de surveiller les logs Microsoft IIS pour toute requête vers le chemin “/SetupWizard.aspx” avec un segment de chemin supplémentaire comme indicateur de compromission.

Des artefacts forensiques supplémentaires peuvent révéler une exploitation réussie. Les organisations doivent vérifier la présence de fichiers XML temporaires de création d’utilisateur sur le disque dans une plage de temps spécifique, car ce fichier peut indiquer une exploitation de CVE-2024-1709. De plus, la détection d’une exploitation potentielle de CVE-2024-1708 implique de rechercher des fichiers .ASPX et .ASHX écrits dans le dossier App_Extensions de ScreenConnect.

Tactiques et techniques post-exploitation

Les équipes d’opérations de sécurité ont observé des activités sophistiquées après une compromission réussie. Les adversaires ont priorisé la création de leurs propres utilisateurs en utilisant des conventions de nommage pour passer inaperçus, ainsi que leur ajout à des groupes très privilégiés.

Les attaquants ont montré de la créativité dans leurs mécanismes de persistance. Ils ont utilisé certutil pour télécharger des charges utiles MSI de ransomware, qu’ils ont également rendues persistantes via les dossiers de démarrage, assurant la survie de leur malware après redémarrage.

Le déploiement d’outils d’accès à distance représentait une autre tactique courante. Les instances de ScreenConnect compromises servaient de points de lancement pour d’autres malwares, notamment des Cobalt Strike beacons et autres outils d’administration à distance, offrant aux attaquants un accès persistant et discret aux réseaux des victimes.

Remédiation et réponse

La réponse de ConnectWise à la crise a été rapide et complète. La société a publié un correctif pour les deux vulnérabilités dans la version 23.9.8, et a pris la mesure exceptionnelle de supprimer les restrictions de licence pour permettre aux clients affectés de mettre à jour, quel que soit leur statut de maintenance.

Pour les déploiements cloud, la remédiation a été automatique. Les déploiements cloud de ScreenConnect, y compris screenconnect.com et hostedrmm.com, ont reçu des mesures d’atténuation dans les heures suivant la validation pour traiter ces vulnérabilités. Cependant, les organisations utilisant des installations sur site ont dû agir immédiatement.

Stratégie de correctif d’urgence

Les organisations hors contrat de maintenance ont bénéficié d’une attention particulière. ConnectWise a fourni une version corrigée 22.4.20001 accessible à tout partenaire, indépendamment de leur statut de maintenance, comme étape intermédiaire pour atténuer la vulnérabilité. Cela a permis à même les clients sans contrat de support actif de se protéger.

Certaines organisations ont rencontré des problèmes de licence lors du correctif d’urgence. Pour y remédier, si une erreur de licence survenait lors de la mise à jour, il était conseillé d’arrêter les quatre services ScreenConnect et de déplacer le fichier License.xml du dossier d’installation vers un autre emplacement avant de poursuivre.

Conseils pour la réponse à incident

Pour les organisations suspectant une compromission, il est recommandé de prendre des mesures de confinement agressives. Si vous suspectez que votre logiciel ScreenConnect a été compromis, priorisez la sécurisation de vos systèmes en suivant votre plan de réponse à incident pour isoler les serveurs affectés et créer des sauvegardes pour une analyse ultérieure.

Il est important de noter qu’une instance de ScreenConnect compromise ne représente pas nécessairement l’ensemble de la brèche. Un serveur compromis peut ne pas être le seul point d’entrée, donc la réponse doit couvrir l’ensemble du système pour identifier et corriger d’autres vulnérabilités.

L’équipe Mandiant de Google a fourni des recommandations supplémentaires pour renforcer la sécurité. Il est conseillé de consulter des guides de remédiation complets qui vont au-delà du simple patching, incluant le durcissement de la configuration, la segmentation réseau, et une surveillance renforcée.

Impact à long terme et leçons à tirer

La divulgation de la vulnérabilité de ScreenConnect a eu des implications durables pour le paysage de la cybersécurité. Cette exploitation a marqué la première fois que des vulnérabilités dans ScreenConnect ont été signalées comme exploitées en conditions réelles, modifiant fondamentalement la perception de la sécurité des infrastructures d’accès à distance.

L’incident a souligné l’importance cruciale de patcher rapidement les solutions d’accès à distance. Les outils de surveillance et de gestion à distance comme ScreenConnect sont devenus des infrastructures essentielles pour les opérations IT modernes, en faisant des cibles de choix pour les attaquants. Lorsqu’une vulnérabilité dans ces systèmes obtient un score CVSS parfait, la course entre défenseurs et attaquants ne dure que quelques heures, pas des jours.

Réponse du fournisseur et normes industrielles

La gestion de la crise par ConnectWise a établi des précédents importants pour la divulgation et la remédiation des vulnérabilités. En supprimant les barrières de licence et en offrant des mises à jour gratuites même aux clients sans contrat de maintenance, l’entreprise a privilégié la sécurité plutôt que le revenu. Cette approche, bien que coûteuse à court terme, a permis de limiter l’ampleur des dégâts.

L’incident a également montré la valeur d’une communication rapide et transparente. ConnectWise a publié rapidement des bulletins de sécurité détaillés, collaboré avec des chercheurs en sécurité pour comprendre les techniques d’exploitation, et fourni des conseils clairs de remédiation. Cette collaboration entre le fournisseur, la communauté de chercheurs, et la communauté de la sécurité a été essentielle pour une réponse efficace.

Se protéger contre des menaces similaires

Les organisations doivent mettre en œuvre plusieurs mesures de défense pour se protéger contre des vulnérabilités similaires à CVE-2024-1709 et CVE-2024-1708 :

Segmentation réseau : Les outils d’accès à distance ne doivent pas être exposés directement à Internet lorsque cela est possible. Placer ces systèmes derrière des pare-feux et VPN réduit la surface d’attaque accessible aux attaquants non authentifiés.

Gestion rapide des correctifs : Les vulnérabilités critiques dans les logiciels d’accès à distance exigent une attention immédiate. Les organisations doivent disposer de processus permettant de patcher en urgence dans les heures suivant la divulgation.

Surveillance renforcée : Mettre en place une journalisation et une surveillance robustes pour les solutions d’accès à distance. Les tentatives d’authentification inhabituelles, l’accès à l’assistant d’installation sur des systèmes configurés, et la création de fichiers suspects doivent déclencher des alertes.

Défense en profondeur : Aucun contrôle de sécurité ne doit être utilisé seul. Plusieurs couches de défense garantissent que si une faille échoue, d’autres peuvent encore prévenir ou détecter une compromission.

Évaluations régulières de sécurité : Des scans de vulnérabilités périodiques et des tests de pénétration peuvent identifier les solutions d’accès à distance exposées et les faiblesses de configuration avant que les attaquants ne le fassent.

Le contexte plus large de la sécurité de l’accès à distance

Les vulnérabilités de ScreenConnect illustrent une tendance plus large où les attaquants ciblent les outils d’accès et de gestion à distance. Ces systèmes offrent exactement ce que recherchent les attaquants : des canaux légitimes et fiables pour accéder et contrôler les systèmes au sein du réseau d’une organisation.

La pandémie de COVID-19 a accéléré l’adoption du télétravail, rendant ces outils plus répandus et des cibles précieuses. À mesure que les organisations ont distribué leur main-d’œuvre, elles ont aussi élargi leur surface d’attaque. Chaque point d’accès à distance représente une porte d’entrée potentielle pour les attaquants, rendant la sécurité de ces outils primordiale.

Les acteurs malveillants se concentrent de plus en plus sur les attaques de chaîne d’approvisionnement et l’exploitation de logiciels de confiance. Plutôt que de forcer l’entrée par la porte principale, ils cherchent à utiliser des outils légitimes et des méthodes d’accès. Les logiciels d’accès à distance offrent un vecteur idéal pour ces tactiques, proposant des canaux authentifiés et cryptés souvent considérés comme fiables par les outils de sécurité.

Conclusion : un signal d’alarme pour la sécurité de l’accès à distance

Les vulnérabilités CVE-2024-1709 et CVE-2024-1708 de ConnectWise ont été un rappel brutal des défis de sécurité critiques auxquels font face les infrastructures d’accès à distance. Avec un score CVSS parfait de 10.0, une exploitation triviale, et une utilisation active par plusieurs groupes de ransomware, ces failles représentaient le pire scénario pour les défenseurs.

Le développement et le déploiement rapides d’exploits, combinés au nombre énorme de systèmes exposés dans le monde, ont créé une crise nécessitant une action immédiate des organisations utilisant ScreenConnect. La réponse rapide de ConnectWise, des chercheurs en sécurité, et de la communauté dans son ensemble a montré l’importance d’une divulgation coordonnée et d’une remédiation efficace.

En regardant vers l’avenir, les leçons tirées de cet incident restent pertinentes. Les outils d’accès à distance continueront d’être des cibles de choix pour les attaquants. Les organisations doivent prioriser la sécurité de ces systèmes par un patching rapide, une segmentation réseau, une surveillance renforcée, et des stratégies de défense en profondeur. Les enjeux sont trop élevés pour considérer la sécurité de l’accès à distance comme une option secondaire.

Alors que les groupes de ransomware et les acteurs étatiques continuent d’évoluer leurs tactiques, la communauté de la sécurité doit rester vigilante. La vulnérabilité d’aujourd’hui pourrait devenir la grande fuite de données ou l’attaque de ransomware de demain. Les vulnérabilités de ConnectWise ScreenConnect ont montré que même un logiciel mature et largement déployé peut contenir des failles critiques que les attaquants exploiteront rapidement.

La note CVSS parfaite de 10 attribuée à CVE-2024-1709 n’était pas une exagération — elle reflétait précisément la gravité d’une vulnérabilité permettant une compromission complète du système avec un effort minimal. Pour les professionnels de la sécurité, cet incident souligne une vérité fondamentale : dans le paysage de menaces moderne, les scores parfaits exigent des réponses parfaites. Il n’y a pas de place pour le retard face à des vulnérabilités de cette envergure.