ConnectWise는 ScreenConnect의 암호화 서명 검증 취약점(CVE-2026-3564)으로 인해 비인가 접근 및 권한 상승 위험이 있다고 경고하였습니다. 이 취약점은 26.1 버전 이전의 ScreenConnect에 영향을 미치며, 공격자가 ASP.NET 머신 키를 탈취해 세션 인증을 우회할 수 있습니다. 해당 플랫폼은 MSP, IT 부서, 지원팀 등에서 원격 접속 용도로 널리 사용되고 있습니다.
ConnectWise는 26.1 버전부터 머신 키의 암호화 저장 및 처리 방식을 강화하여 문제를 해결하였습니다. 클라우드 사용자는 자동으로 안전한 버전으로 이전되었으나, 온프레미스 환경의 관리자는 즉시 업그레이드가 필요합니다. 실제로 연구자들은 머신 키 악용 시도가 관찰되고 있다고 밝혔으나, 현재까지 실제 악용 사례나 침해 지표(IoC)는 확인되지 않았습니다.
ConnectWise는 추가로 구성 파일 및 비밀 정보 접근 제한, 인증 로그 점검, 백업 및 스냅샷 보호, 확장 프로그램 최신화 등 보안 강화를 권고하였습니다. 과거에도 유사한 취약점(CVE-2025-3935)이 국가 지원 해커에 의해 악용된 사례가 있었으며, 이번 취약점 역시 중국 해커에 의해 오랜 기간 악용되었다는 주장도 있으나, 동일한 결함이 사용되었는지는 불분명합니다.
요약
- ScreenConnect 26.1 이전 버전에서 심각한 암호화 서명 검증 취약점이 발견되었다.
- 해당 취약점은 비인가 접근 및 권한 상승을 유발할 수 있다.
- 클라우드 사용자는 자동으로 패치되었으나, 온프레미스 사용자는 즉시 업그레이드가 필요하다.
- 현재까지 실제 악용 사례는 확인되지 않았으나, 악용 시도가 관찰되고 있다.
- 추가적인 보안 조치와 로그 점검, 구성 파일 보호 등이 권고된다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.