Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
ConnectWise opublikował poprawkę bezpieczeństwa dla ScreenConnect, usuwając krytyczną podatność oznaczoną jako CVE-2026-3564. Problem dotyczy sposobu weryfikacji podpisów kryptograficznych oraz ochrony materiału kryptograficznego wykorzystywanego przez instancję aplikacji, co w określonych warunkach może prowadzić do nieautoryzowanego uwierzytelniania i przejęcia sesji.
Ze względu na rolę ScreenConnect jako narzędzia do zdalnego dostępu i administracji, skuteczne wykorzystanie luki może oznaczać nie tylko obejście mechanizmów bezpieczeństwa, ale również uzyskanie szerokiego dostępu do systemów zarządzanych przez operatorów IT i dostawców usług MSP.
W skrócie
- Podatność dotyczy wersji ScreenConnect starszych niż 26.1.
- Luka może umożliwić pozyskanie lub wykorzystanie kluczy ASP.NET machine keys do fałszowania chronionych danych sesyjnych.
- Skutkiem może być obejście uwierzytelniania, eskalacja uprawnień i przejęcie kontroli nad sesją.
- Środowiska chmurowe zostały zaktualizowane automatycznie, natomiast instalacje on-premise wymagają pilnego wdrożenia poprawki.
- Problem został sklasyfikowany jako CWE-347, a jego waga została oceniona bardzo wysoko.
Kontekst / historia
ScreenConnect to popularna platforma zdalnego dostępu używana przez zespoły wsparcia technicznego, administratorów oraz dostawców usług zarządzanych. Tego typu rozwiązania pełnią uprzywilejowaną funkcję w infrastrukturze organizacji, dlatego regularnie znajdują się w centrum zainteresowania cyberprzestępców.
Nowa podatność wpisuje się w szerszy problem bezpieczeństwa systemów, które opierają ochronę sesji i integralność danych na kluczach przechowywanych lokalnie na serwerze. Producent wskazał, że obserwowano próby nadużywania ujawnionego materiału ASP.NET machine key, co znacząco zwiększa pilność aktualizacji. Jednocześnie firma zaznaczyła, że w chwili publikacji komunikatu nie dysponowała potwierdzonymi wskaźnikami kompromitacji specyficznymi dla tej luki.
Analiza techniczna
Istota problemu sprowadza się do niewystarczającej ochrony materiału kryptograficznego wykorzystywanego przez aplikację do zabezpieczania danych sesyjnych i innych wartości zaufanych przez system. W starszych wersjach unikalne klucze machine key były przechowywane w plikach konfiguracyjnych serwera. Jeśli atakujący uzyskał do nich dostęp, mógł generować lub modyfikować dane podpisane w taki sposób, aby aplikacja uznała je za prawidłowe.
W praktyce otwiera to drogę do fałszowania kontekstu sesji i obchodzenia mechanizmów zaufania opartych na kryptograficznie chronionych danych aplikacyjnych. W środowisku zdalnego zarządzania taki scenariusz jest szczególnie groźny, ponieważ poprawnie rozpoznana sesja może prowadzić do uzyskania dostępu administracyjnego do hostów końcowych, konsol operatorów lub infrastruktury klientów.
ConnectWise wskazał, że wersja 26.1 wprowadza dodatkowe mechanizmy ochrony, w tym szyfrowane przechowywanie kluczy oraz wzmocnioną obsługę materiału kryptograficznego po stronie aplikacji. Z perspektywy bezpieczeństwa oznacza to ograniczenie ryzyka wykorzystania ujawnionych sekretów do podszywania się pod legalne sesje lub manipulowania chronionymi danymi.
Konsekwencje / ryzyko
Najpoważniejszą konsekwencją podatności jest możliwość uzyskania nieautoryzowanego dostępu do instancji ScreenConnect. W zależności od konfiguracji środowiska może to oznaczać przejęcie sesji operatora, wykonanie działań administracyjnych, dostęp do wrażliwych danych, a także dalszy ruch boczny w sieci organizacji.
Ryzyko jest szczególnie wysokie dla wdrożeń on-premise, gdzie odpowiedzialność za aktualizacje i ochronę serwera spoczywa na administratorze. W przypadku środowisk MSP potencjalny wpływ operacyjny jest jeszcze większy, ponieważ kompromitacja pojedynczej konsoli może przełożyć się na dostęp do wielu zarządzanych klientów jednocześnie. Dodatkowo problem dotyczy fundamentu zaufania aplikacji do własnych danych sesyjnych, co zwiększa jego znaczenie z punktu widzenia obrony.
Rekomendacje
Najważniejszym działaniem jest natychmiastowa aktualizacja wszystkich instancji on-premise do wersji ScreenConnect 26.1. Organizacje korzystające z integracji z innymi narzędziami administracyjnymi powinny również potwierdzić zgodność środowiska oraz wdrożyć poprawki we wszystkich komponentach towarzyszących.
- ograniczyć dostęp do plików konfiguracyjnych, sekretów aplikacyjnych i kopii zapasowych;
- przeprowadzić przegląd uprawnień lokalnych i administracyjnych na serwerach ScreenConnect;
- monitorować logi pod kątem nietypowych prób logowania, anomalii sesyjnych i zmian konfiguracji;
- zabezpieczyć snapshoty, archiwa i backupy, które mogą zawierać starszy materiał kryptograficzny;
- zaktualizować rozszerzenia i komponenty dodatkowe do najnowszych wspieranych wersji;
- rozważyć rotację sekretów oraz przegląd aktywnych sesji po wdrożeniu poprawki.
W organizacjach o podwyższonym profilu ryzyka warto dodatkowo uruchomić działania typu threat hunting, ukierunkowane na wykrywanie nieoczekiwanych logowań, nietypowych zmian w sesjach oraz aktywności administracyjnej wykonywanej poza standardowymi godzinami operacyjnymi.
Podsumowanie
CVE-2026-3564 to krytyczna podatność w ScreenConnect, ponieważ dotyczy mechanizmu ochrony danych kryptograficznych i sesyjnych, które stanowią podstawę zaufania całej aplikacji. Choć skuteczne wykorzystanie luki wymaga spełnienia określonych warunków, potencjalne skutki obejmują przejęcie sesji, obejście uwierzytelniania oraz szeroki dostęp administracyjny do zarządzanych systemów.
Z perspektywy obrońców priorytetem pozostaje szybkie wdrożenie wersji 26.1, kontrola dostępu do sekretów, analiza logów oraz ocena, czy historyczne kopie danych lub konfiguracji nie zawierają materiału, który mógłby zostać użyty do dalszych nadużyć.
Źródła
- ConnectWise patches new flaw allowing ScreenConnect hijacking — https://www.bleepingcomputer.com/news/security/connectwise-patches-new-flaw-allowing-screenconnect-hijacking/
- ScreenConnect 26.1 Security Hardening — https://www.connectwise.com/company/trust/security-bulletins/2026-03-17-screenconnect-bulletin
- NVD – CVE-2026-3564 — https://nvd.nist.gov/vuln/detail/CVE-2026-3564