ConnectWise découvre une faille critique dans la signature de ScreenConnect
ConnectWise a émis un avis de sécurité urgent le 18 mars 2026, alertant les clients d'une vulnérabilité sérieuse de vérification de signature cryptographique affectant leur plateforme d'accès à distance ScreenConnect. La faille permet aux attaquants de contourner les vérifications de signature numérique, ce qui pourrait entraîner un accès non autorisé au système et une élévation de privilèges dans les environnements gérés.
La vulnérabilité provient d'une validation incorrecte des signatures cryptographiques dans le mécanisme d'authentification de ScreenConnect. Lorsqu'elle est exploitée, les attaquants peuvent créer des charges utiles malveillantes qui semblent légitimes pour le processus de vérification du système, contournant ainsi efficacement les contrôles de sécurité conçus pour empêcher l'exécution de code non autorisé. Cela représente une rupture fondamentale dans le modèle de confiance qui sous-tend les opérations d'accès à distance sécurisé.
ScreenConnect, anciennement connu sous le nom de ConnectWise Control, sert d'outil critique de surveillance et de gestion à distance pour les fournisseurs de services gérés et les départements informatiques du monde entier. La plateforme gère des opérations sensibles, y compris l'accès à distance au bureau, les transferts de fichiers et les tâches d'administration système à travers des milliers de réseaux clients. Une compromission à ce niveau pourrait se répercuter sur l'ensemble des environnements d'infrastructure gérés.
La chronologie de la découverte suggère que la vulnérabilité a été identifiée par des tests de sécurité internes plutôt que par des rapports d'exploitation active. ConnectWise n'a pas divulgué si la faille a été découverte par leur propre équipe de sécurité ou signalée via leur programme de divulgation responsable. La réponse rapide de l'entreprise indique qu'ils traitent cela comme un incident de sécurité de haute priorité nécessitant une attention immédiate des clients.
L'analyse technique révèle que le contournement de la vérification de signature affecte le pipeline d'authentification principal qui valide les connexions entrantes et les commandes administratives. Cela signifie que les attaquants qui exploitent avec succès la faille pourraient potentiellement exécuter du code arbitraire avec des privilèges élevés, accéder à des données client sensibles ou établir des portes dérobées persistantes dans les systèmes gérés. La nature cryptographique de la vulnérabilité suggère qu'elle pourrait avoir existé pendant une période prolongée avant d'être détectée.
Les déploiements de ScreenConnect font face à un risque d'exposition généralisé
Toutes les installations de ConnectWise ScreenConnect semblent vulnérables à ce contournement de signature cryptographique, quel que soit le modèle de déploiement ou la version. Cela inclut à la fois les instances ScreenConnect hébergées dans le cloud et sur site utilisées par les fournisseurs de services gérés, les équipes informatiques internes et les organisations de support à distance. La portée large signifie que des milliers d'organisations gérant des centaines de milliers de points de terminaison pourraient être à risque.
Les fournisseurs de services gérés font face à une exposition particulièrement aiguë puisqu'ils utilisent généralement ScreenConnect pour accéder simultanément à plusieurs réseaux clients. Une exploitation réussie pourrait permettre aux attaquants de pivoter entre différents environnements clients, compromettant potentiellement l'ensemble des bases de clients MSP à travers une seule vulnérabilité. Cet effet d'amplification rend la faille particulièrement dangereuse pour l'écosystème MSP.
Les organisations utilisant ScreenConnect pour la gestion d'infrastructures critiques, les systèmes de santé ou les opérations de services financiers font face à un risque accru en raison de la nature sensible de leurs actifs gérés. La composante d'élévation de privilèges signifie que les attaquants pourraient potentiellement obtenir un accès administrateur de domaine ou des permissions élevées équivalentes au sein des réseaux cibles. Les travailleurs à distance et les équipes distribuées s'appuyant sur ScreenConnect pour un accès sécurisé aux ressources de l'entreprise sont également dans le rayon d'explosion potentiel.
L'impact de la vulnérabilité s'étend au-delà des utilisateurs directs de ScreenConnect pour inclure tous les systèmes ou réseaux accessibles via des sessions ScreenConnect compromises. Cette exposition secondaire pourrait affecter les bases de données, les serveurs de fichiers, les contrôleurs de domaine et d'autres composants d'infrastructure critiques auxquels les administrateurs accèdent régulièrement via la plateforme. Étant donné l'adoption généralisée de ScreenConnect dans les environnements d'entreprise, le nombre total de systèmes potentiellement affectés atteint probablement des millions.
Étapes de mitigation immédiates pour les administrateurs ScreenConnect
ConnectWise dirige tous les clients ScreenConnect à mettre en œuvre des mesures de protection immédiates pendant qu'un correctif complet subit des tests finaux. Les administrateurs doivent d'abord auditer toutes les sessions ScreenConnect actives et terminer toute connexion suspecte ou non reconnue. Cela inclut la révision des journaux de session pour des modèles d'authentification inhabituels ou des tentatives d'élévation de privilèges qui pourraient indiquer une exploitation en cours.
La segmentation du réseau devient critique pour limiter les dommages potentiels des exploits réussis. Les organisations devraient mettre en œuvre des règles de pare-feu supplémentaires restreignant le trafic ScreenConnect aux seuls chemins de communication essentiels. Envisagez de déployer des outils de surveillance du réseau pour détecter des modèles de trafic anormaux qui pourraient indiquer des tentatives de contournement cryptographique. L'authentification multi-facteurs devrait être appliquée à tous les comptes administratifs ScreenConnect si elle n'est pas déjà mise en œuvre.
Pour les organisations incapables de désactiver temporairement ScreenConnect, la mise en œuvre de contrôles d'accès supplémentaires via des exigences VPN ou une liste blanche d'IP peut fournir une protection intérimaire. Surveillez les journaux système pour des événements d'élévation de privilèges inattendus, en vous concentrant particulièrement sur les comptes qui obtiennent soudainement des droits administratifs sans flux de travail d'autorisation appropriés. Le catalogue des vulnérabilités exploitées connues de la CISA devrait être surveillé pour les mises à jour car cette vulnérabilité pourrait être ajoutée si une exploitation active est confirmée.
ConnectWise a indiqué qu'une mise à jour de sécurité traitant la faille de vérification de signature sera publiée dans les 48 heures suivant l'avis initial. Les clients devraient se préparer à un déploiement immédiat en planifiant des fenêtres de maintenance et en s'assurant que les procédures de sauvegarde sont à jour. L'entreprise recommande de s'abonner à leur système de notification de sécurité pour des mises à jour en temps réel sur la disponibilité des correctifs et les conseils de déploiement. Les organisations devraient également revoir leurs procédures de réponse aux incidents au cas où des tentatives d'exploitation seraient détectées pendant la fenêtre vulnérable.
