前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >CVE-2024-1709|ConnectWise ScreenConnect身份验证绕过漏洞

CVE-2024-1709|ConnectWise ScreenConnect身份验证绕过漏洞

作者头像
信安百科
发布2024-03-04 11:23:09
2740
发布2024-03-04 11:23:09
举报
文章被收录于专栏:信安百科信安百科

0x00 前言

ConnectWise Control为现代技术支持团队设计的高效、快速的远程支持、访问和会议系统,使技术人员可以通过使用远程支持以访问维修计算机、提供更新和管理来提高工作效率。这个功能丰富的解决方案拥有你在远程桌面解决方案中想要的所有工具,现在已赢得了许多用户的青睐。

ConnectWise Control突出的特点包括闪电般的连接、拖放文件传输、会话窗口大小调整、安全模式重启、锁定控制。

0x01 漏洞描述

由于身份验证过程并未针对所有访问路径进行安全防护,威胁者可通过特制请求访问已配置的 ScreenConnect 实例上的设置向导(如:/SetupWizard.aspx/literallyanything),从而可以创建新的管理员帐户并使用它来控制 ScreenConnect 实例。

0x02 CVE编号

CVE-2024-1709

0x03 影响版本

ConnectWise ScreenConnect <= 23.9.7

0x04 漏洞详情

0x05 参考链接

https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8

https://www.huntress.com/blog/a-catastrophe-for-control-understanding-the-screenconnect-authentication-bypass

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2024-02-28,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 信安百科 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
多因子身份认证
多因子身份认证(Multi-factor Authentication Service,MFAS)的目的是建立一个多层次的防御体系,通过结合两种或三种认证因子(基于记忆的/基于持有物的/基于生物特征的认证因子)验证访问者的身份,使系统或资源更加安全。攻击者即使破解单一因子(如口令、人脸),应用的安全依然可以得到保障。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档