Les experts en sécurité tirent-ils la sonnette d’alarme trop tard ? Une vulnérabilité de haute gravité dans un outil d’accès à distance largement utilisé est décrite comme « trivialement et embarrassante facile » à exploiter. Le développeur du logiciel a confirmé que des pirates informatiques malveillants exploitaient activement la faille. Comment cette vulnérabilité affecte-t-elle ConnectWise ScreenConnect, un logiciel d’accès à distance très populaire chez les prestataires de services informatiques et les techniciens ?
Est-il possible qu’une faille d’authentification permette à un attaquant de voler à distance des données confidentielles ou de déployer du code malveillant, comme des logiciels malveillants ? La compagnie a-t-elle attendu jusqu’au 19 février pour divulguer les détails de ce bug dans un avis de sécurité, malgré le fait que la vulnérabilité lui ait été signalée pour la première fois le 13 février ?
La réaction initiale de ConnectWise indiquait-elle vraiment qu’il n’y avait aucune indication d’exploitation publique, avant de mettre à jour les informations pour confirmer la compromission de comptes ? La société a-t-elle partagé des adresses IP récemment utilisées par des acteurs de menaces dans un but de transparence ou pour alerter d’autres possibles victimes ?
Quelle est l’étendue réelle des dégâts causés par cette vulnérabilité perçue comme « facile » à exploiter mais potentiellement dévastatrice ?
Recherchant à connaître le nombre de clients affectés, le peu d’informations partagées par ConnectWise sur l’ampleur des intrusions suspectes soulève-t-il plus de questions que de réponses ? Est-ce rassurant de savoir que 80% des environnements clients étaient basés sur le cloud et ont été patchés automatiquement dans les 48 heures, ou cela souligne-t-il la vulnérabilité des solutions sur site ?
Le fait que ConnectWise ne soit pas informée d’exfiltration de données signifie-t-il véritablement qu’aucune donnée n’a été compromise, ou cela expose-t-il une limite dans la capacité de détection de l’entreprise ? L’analyse de la société de cybersécurité Huntress publiée mercredi indique-t-elle une exploitation active de la vulnérabilité, avec des signaux précoces de mécanismes de post-exploitation plus ciblés par les acteurs de la menace ?
Quels sont les risques à court terme pour les organisations ayant des serveurs vulnérables, et quelle est la gravité réelle de cette « catastrophe » signalée par le PDG de Huntress ? La libération d’un correctif pour la vulnérabilité activement exploitée suffit-elle à sécuriser les utilisateurs sur site de ScreenConnect, ou est-ce le début d’une lutte plus large contre les campagnes de ransomware exploitant cette faille ?
Les récentes alertes lancées par les agences gouvernementales américaines, mettant en garde contre l’utilisation malveillante de logiciels légitimes de surveillance et de gestion à distance, dont ConnectWise SecureConnect, soulignent-elles un problème plus large de sécurité des outils d’accès à distance ? Quelle réponse apportera l’industrie de la cybersécurité à ce défi persistant et à l’exploitation continue de vulnérabilités critiques dans des logiciels largement adoptés ?
Source : Techcrunch