Компания ConnectWise выпустила критическое обновление безопасности для своего программного обеспечения удаленного доступа ScreenConnect, устраняя серьезную уязвимость, которая может позволить злоумышленникам захватывать серверы и получать несанкционированный доступ. Уязвимость, зарегистрированная как CVE-2026-3564, представляет собой слабость в проверке криптографической подписи, затрагивающую все версии ScreenConnect до 26.1. Эта уязвимость позволяет злоумышленникам извлекать и неправомерно использовать ключи машины ASP.NET из уязвимого экземпляра, что позволяет им подделывать токены аутентификации и обходить средства безопасности. Учитывая широкое использование ScreenConnect управляемыми поставщиками услуг (MSP), ИТ-отделами и группами поддержки для удаленного администрирования, успешная эксплуатация уязвимости может привести к катастрофическому повышению привилегий и полному компрометированию управляемых систем.
Суть уязвимости заключается в ненадлежащей защите материала ключа машины, который используется для криптографической подписи и проверки данных сеанса. Согласно сообщению ConnectWise, если эти ключи раскрыты, злоумышленник может «генерировать или изменять защищенные значения таким образом, что экземпляр может принять их как действительные». Это, по сути, дает злоумышленнику возможность аутентифицироваться в качестве любого пользователя, выполнять произвольные команды и перемещаться латерально по подключенным сетям. Компания устранила проблему в версии 26.1, внедрив зашифрованное хранение для ключей машины и улучшив их общую обработку для предотвращения извлечения.
От пользователей требуются немедленные действия. ConnectWise автоматически обновила все облачные экземпляры ScreenConnect до исправленной версии. Однако администраторы, отвечающие за локальные развертывания (On-Premises), должны вручную обновить свои серверы до версии ScreenConnect 26.1 без задержки. Учитывая критический характер этой уязвимости и высокую ценность инструментов удаленного доступа для злоумышленников, любая задержка в установке исправлений представляет серьезный риск. Организации должны отнестись к этому с наивысшим приоритетом, поскольку эксплуатация уязвимости может предоставить прямой доступ к их основной инфраструктуре и сетям их клиентов.
Это исправление появляется на фоне насыщенной кибербезопасности. В отдельных отчетах подробно описывается новая уязвимость iOS под названием «Darksword», используемая в атаках для кражи информации, выпуск Apple обновления «Улучшения безопасности фонового режима» и широкомасштабная кампания вредоносного ПО «GlassWorm», нацеленная на более чем 400 репозиториев кода. Кроме того, CISA предписала федеральным агентствам исправить активно эксплуатируемую уязвимость XSS в Zimbra. Обновление ConnectWise подчеркивает постоянное таргетирование фундаментальных ИТ-инструментов и инструментов удаленного управления. Для MSP, чья бизнес-модель зависит от доверия и безопасности, обеспечение безупречной защиты всех решений для удаленного доступа — это не просто техническая задача, а критически важная бизнес-императива.
