北京
4月28日,美国网络安全与基础设施安全局(CISA)将一个编号为CVE-2024-1708的漏洞正式列入"已知被利用漏洞目录"。从列入目录到强制修复 deadline,留给联邦机构的窗口期只有14天。
这不是例行公事。CISA明确确认:攻击者正在现实环境中活跃利用这一漏洞。
为什么一款远程支持工具值得最高级别警戒
ConnectWise ScreenConnect 是IT运维领域的常用工具。技术人员通过它远程管理分散各地的计算机——这意味着它天然需要高等级网络权限才能正常工作。
这种设计特性让任何安全缺口都变得极其危险。一旦漏洞被突破,攻击者获得的不是边缘访问权,而是直通企业核心网络的通道。
CVE-2024-1708 的漏洞类型是"路径遍历"(path traversal,CWE-22分类)。简单说:程序没有正确过滤外部用户请求的文件路径,攻击者可以通过构造特殊路径,跳转到服务器上的受限文件夹。
利用这个弱点,攻击者能够远程执行恶意代码、窃取机密数据、篡改系统文件,最终完全控制关键IT基础设施。
时间线复盘:从漏洞公开到强制修复令
4月28日,CISA将 CVE-2024-1708 加入 KEV 目录。这一动作本身就有强制性——联邦民事行政部门(FCEB)机构必须在5月12日前完成补丁或缓解措施。
CISA同时建议私营企业同步遵守这一 deadline。这种"公私同标"的罕见姿态,说明风险评级已经拉满。
但这里有个值得玩味的细节:CISA 对漏洞与具体勒索软件活动的关联状态标注为"未知"。
这并不意味着安全。恰恰相反,远程访问软件一直是勒索软件团伙和数据勒索组织的首选猎物。攻击者惯用的链条是:先利用 ScreenConnect 这类工具的漏洞获得初始入口,然后部署勒索载荷,或将网络访问权限转卖给其他犯罪集团。
路径遍历漏洞的技术门槛并不高,却能为后续攻击打开全部可能性。
产品设计的结构性风险
ScreenConnect 的困境折射出远程支持工具的普遍悖论:功能需求与安全设计的根本冲突。
远程支持的核心价值在于"无缝接管"——技术人员要像坐在本地机器前一样操作远端设备。这要求软件必须穿透多层网络边界,获得近乎管理员级别的系统权限。
但权限越高,攻击面就越诱人。路径遍历这类"经典漏洞"之所以反复出现,恰恰因为文件路径处理是远程访问的基础功能,代码复杂度与攻击窗口同步增长。
CISA 将修复期限压缩到两周,侧面说明漏洞利用的成熟度可能已经很高。攻击者不需要从零开发工具链,现成的利用代码或变种攻击很可能已在地下流通。
企业防御的紧迫动作
CISA 给出的建议清单很直接:识别所有运行 ScreenConnect 的资产、升级到已修复版本、若无法立即修补则考虑暂时隔离。
但更深层的问题在于资产可见性。很多企业IT部门对内部部署的远程访问工具缺乏完整台账——影子IT、历史遗留实例、第三方供应商的接入节点,都是容易遗漏的盲区。
远程支持工具的特殊性还在于它的"双向信任"结构:不仅企业内部使用,还常被IT外包商、设备供应商、技术支持团队接入。一个漏洞可能通过供应链关系横向蔓延,攻击者甚至不需要直接突破目标企业。
5月12日的 deadline 针对联邦机构,但勒索软件团伙不会区分公私部门。CISA 罕见地将私营企业纳入同步建议,实质是在预警一种可能:这个漏洞的利用规模可能在短期内快速放大。
对于依赖 ScreenConnect 的企业,现在需要回答的是:你的资产清单完整吗?补丁测试流程能在一周内跑完吗?如果升级导致业务中断,有备用远程支持方案吗?
漏洞本身的技术细节已经公开,攻击窗口正在倒计时。当网络安全局的紧急预警与勒索软件生态的成熟运作相遇,留给防御方的反应时间,往往比纸面 deadline 更短。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
