ConnectWise dicht kritisch lek in ScreenConnect

Het lek, geregistreerd onder nummer CVE-2026-3564, heeft de prioriteitsstatus ‘High’ gekregen. Uit onderzoek van ConnectWise bleek dat eerdere versies van de populaire software voor externe ondersteuning unieke 'machine keys' per instantie opsloegen in configuratiebestanden op de server. Als een aanvaller toegang kreeg tot de serverintegriteit, kon dit materiaal worden geëxtraheerd en misbruikt om sessie-authenticatie te omzeilen.

Ernstige kwetsbaarheid

De kwetsbaarheid (CWE-347) heeft een zogenaamde CVSS-score van 9.0 gekregen, wat duidt op een zeer hoog risico. Hoewel een aanvaller een zekere mate van toegang nodig heeft om het lek te misbruiken, kan de impact catastrofaal zijn: volledige controle over vertrouwelijke data en verwerkingsbronnen.

In versie 26.1 is de beveiliging van deze cryptografische sleutels fundamenteel verbeterd. De sleutels worden voortaan versleuteld opgeslagen en beheerd, waardoor het risico op ongeautoriseerde toegang aanzienlijk wordt verkleind.

Directe actie vereist voor on-premise partners

ConnectWise adviseert partners die de software op eigen servers draaien (on-premise) om de update direct te installeren.

• Cloud-gebruikers: Voor klanten die de cloudversie van ScreenConnect gebruiken, is geen actie vereist; ConnectWise heeft de updates centraal reeds doorgevoerd.
• On-premise gebruikers: Partners moeten handmatig upgraden naar versie 26.1 via de officiële downloadpagina. ConnectWise benadrukt dat een geldige licentie vereist is voor de update.
• Automate-integraties: Voor gebruikers die ScreenConnect hebben geïntegreerd met ConnectWise Automate, is de patch beschikbaar via de Automate Product Updates-pagina.

Gezien de ernst van de kwetsbaarheid en de kans dat aanvallers het lek op korte termijn zullen proberen te exploiteren, raadt de softwarebouwer aan om de installatie als een "noodwijziging" te behandelen en deze binnen enkele dagen uit te voeren.