Уязвимость в ScreenConnect (CVE-2026-3564): незакрытые серверы под угрозой

Компания ConnectWise устранила критическую уязвимость (CVE-2026-3564), которая позволяла злоумышленникам захватывать сессии ScreenConnect, используя ключи ASP.NET для подделки доверенной аутентификации.

Об уязвимости CVE-2026-3564

Платформа удалённого доступа ScreenConnect широко используется управляемыми сервис-провайдерами, ИТ-отделами и поставщиками технологических решений. Они могут выбрать облачную версию или развернуть её на собственных серверах или в частном облаке.

CVE-2026-3564 возникает из-за некорректной проверки криптографической подписи. Её можно эксплуатировать удалённо без аутентификации и без какого-либо взаимодействия с пользователем. Уязвимость затрагивает все версии ScreenConnect до 26.1.

«В более ранних версиях ScreenConnect уникальные ключи [ASP.NET] для каждого экземпляра хранились в файлах конфигурации сервера. При определённых условиях это позволяло неавторизованным лицам извлечь эти данные и использовать их для аутентификации сессии», — пояснили в ConnectWise.

После захвата сессии злоумышленники могут совершать несанкционированные действия в рамках экземпляра. Кроме того, поскольку ScreenConnect используется для управления удалёнными устройствами, атакующие могут открывать сессии на компьютерах сотрудников, выполнять команды, устанавливать вредоносное ПО и так далее.

«Версия ScreenConnect 26.1 включает улучшенную защиту для обработки машинных ключей, в том числе их зашифрованное хранение и управление. Это снижает риск несанкционированного доступа в ситуациях, когда целостность сервера может быть нарушена», — добавила компания.

Новая версия также позволяет администраторам легко обновлять криптографический материал экземпляров.

Что делать?

В отдельном сообщении Connectwise упомянула, что «исследователи в области безопасности наблюдали попытки злоупотребления раскрытым материалом машинных ключей ASP.NET», но не уточнила, когда именно.

«У нас нет доказательств того, что [CVE-2026-3564] эксплуатировалась в ScreenConnect, размещённом на серверах ConnectWise, поэтому у нас нет подтверждённых индикаторов компрометации для обмена», — сообщил представитель компании Help Net Security.

«Мы призываем всех исследователей, которые считают, что обнаружили активную эксплуатацию, придерживаться ответственного раскрытия информации, чтобы результаты могли быть проверены и надлежащим образом устранены».

Connectwise выпустила Screenconnect версии 26.1 на прошлой неделе и обновила серверные экземпляры, размещённые в своём облаке. Клиентам с локальными и самостоятельно размещёнными экземплярами настоятельно рекомендуется выполнить обновление как можно скорее.

Компаниям также следует проверить наличие признаков предшествующего взлома: необычную активность аутентификации и неожиданные административные действия, отображаемые в журналах ScreenConnect.

В заключение Connectwise рекомендует:

• Проанализировать правила доступа на уровне экземпляра и сервера, чтобы ограничить доступ к конфигурации приложения и секретным данным.
• Убедиться, что доступ к резервным копиям, экспортированным архивам конфигурации и историческим снимкам ограничен доверенными пользователями и системами.
• Использовать только проверенные и поддерживаемые расширения, регулярно их обновляя.

Подпишитесь на нашу рассылку экстренных оповещений, чтобы всегда быть в курсе последних утечек данных, уязвимостей и киберугроз. Подписаться можно здесь!