ConnectWise, ScreenConnect uzak masaüstü ve erişim yazılımındaki, etkilenen sistemlerde uzaktan kod yürütülmesine olanak tanıyan kritik bir hata da dahil olmak üzere iki güvenlik açığını gidermek için yazılım güncellemeleri yayınladı.
Şu anda CVE tanımlayıcıları bulunmayan güvenlik açıkları aşağıda listelenmiştir:
- Alternatif bir yol veya kanal kullanarak kimlik doğrulamayı atlama (CVSS puanı: 10,0)
- Yol adının “yol geçişi” olarak da bilinen kısıtlı bir dizine uygun olmayan şekilde sınırlandırılması (CVSS puanı: 8,4)
Şirket, sorunların ciddiyetini kritik olarak değerlendirdi ve bunların “uzaktan kod yürütme olanağına izin verebileceğini veya gizli verileri veya kritik sistemleri doğrudan etkileyebileceğini” belirtti.
Her iki güvenlik açığı da ScreenConnect’in 23.9.7 ve önceki sürümlerini etkiliyor; düzeltmeler 23.9.8 sürümünde mevcut. Kusurlar 13 Şubat 2024’te şirkete bildirildi.
Eksikliklerin kullanımda olduğuna dair bir kanıt olmasa da, kendi kendine barındırılan veya şirket içi sürümleri çalıştıran kullanıcıların en kısa sürede en son sürüme güncellemeleri önerilir.
ConnectWise, “ConnectWise ayrıca kritik sorun için 22.4’ten 23.9.7’ye kadar olan sürümlerin güncellenmiş sürümlerini sunacak, ancak iş ortaklarının ScreenConnect 23.9.8 sürümüne güncelleme yapmalarını şiddetle tavsiye ediyoruz” dedi.