• 개요

  2월 13일, 관련 취약점이 ConnectWise Trust Center의 취약점 공개 채널을 통해 보고되었고, 이후 2월 19일에 ConnectWise는 ScreenConnect 원격 관리 도구에 대한 보안 권고를 게시했다.

  ConnectWise가 보안 문제를 공개한 지 하루 만에 공격자들은 ScreenConnect의 취약점을 공격에 활용한 정황이 확인되었으며, 공격 그룹 중에는 LockBit도 포함되어 있었다. 또한 인터넷에는 8,800개 이상의 ConnectWise 서버가 여전히 취점에 노출되어 있다고 밝혔다.
  

• ScreenConnect 취약점
  

  CVE-2024-1709는 CVSS 점수 10.0점인 대체 경로 또는 채널을 사용한 인증 우회 취약점이다. 해당 취약점을 통해 공격자는 ScreenConnect 서버에 자신의 관리 사용자를 생성하여 서버에 대한 모든 권한을 부여할 수 있다.

  CVE-2024-1708은 CVSS 점수 8.4점인 경로 탐색 취약점이다. 해당 취약점을 통해 공격자는 원격 코드를 실행하거나 데이터 또는 중요 시스템에 직접 영향을 줄 수 있다.
  

• 영향받는 버전
  

  영향 받는 버전	패치 버전
  ScreenConnect 23.9.7 및 이전 버전	ScreenConnect 23.9.8 이상 버전

• 완화 방안
  

  클라우드 파트너는 2024.02.19 기준으로 자동 패치 적용

  온프레미스 파트너는 ScreenConnect를 23.9.8 이상 버전으로 최신 업데이트 권고

• 타임라인

  
  

• IOC

  IP	비고
  155.133.5.14	Nord VPN
  155.133.5.15	Nord VPN
  118.69.65.50	VPNGate VPN

• 참고 자료
  

  [1] https://au.finance.yahoo.com/news/researchers-warn-high-risk-connectwise-173134048.html?guccounter=1&guce_referrer=aHR0cHM6Ly93d3cuZ29vZ2xlLmNvbS8&guce_referrer_sig=AQAAAJZzhNCuauzWfQYaZPOcOrrmBr-Aa2V4MKO6mKGFzDuu-uf971kamNkCU0w33RLCADfGVkmC3tRN7zxHkEdGvmo4JyEvD37ja9s-PdfDWhVzvBqbkEIaMXqZHwezSOez02nVWuLWzBm1cjhYigj0mUYRd8H8BCBSMKPLUL-f05EP

  [2] https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8

  [3] https://www.huntress.com/blog/a-catastrophe-for-control-understanding-the-screenconnect-authentication-bypass

□ 작성 : 보안관제센터 분석팀