В сфере инструментов для удалённого администрирования и технической поддержки обнаружена новая серьёзная угроза, которая ставит под удар конфиденциальность данных и целостность тысяч корпоративных систем по всему миру. Компания ConnectWise экстренно выпустила обновление безопасности для своего флагманского продукта ScreenConnect, предназначенного для удалённого доступа к рабочим станциям. Причина - критическая уязвимость, позволяющая злоумышленникам перехватывать активные сессии пользователей и получать несанкционированный доступ к подключённым компьютерам. Эта проблема затрагивает все локальные развёртывания программного обеспечения, что требует немедленных действий от системных администраторов.
Детали уязвимости CVE-2026-3564
Уязвимость, получившая идентификатор CVE-2026-3564, была классифицирована самой компанией как угроза уровня «Приоритет 1». Это означает высочайший риск активного использования её в реальных атаках, что обязывает организации рассматривать установку патча как аварийное изменение, которое необходимо выполнить в течение считанных дней. Суть проблемы кроется в архитектурном недостатке, официально отнесённом к классу CWE-347 - «неправильная проверка криптографической подписи». В более старых версиях ScreenConnect уникальные машинные ключи, используемые для защиты сессий, хранились непосредственно в конфигурационных файлах сервера в незашифрованном виде.
Эксперты по кибербезопасности поясняют, что при определённых условиях, если злоумышленнику удаётся скомпрометировать целостность сервера, он может извлечь эти чувствительные криптографические материалы. Обладая ключами, атакующий способен подделывать данные для аутентификации сессии. Этот критический сбой позволяет хакерам захватывать активные удалённые подключения, получая таким образом полный контроль над конечными точками - компьютерами сотрудников или серверами. Последствия могут быть катастрофическими: от утечки коммерческой тайны и персональных данных до скрытой установки программ-вымогателей или шпионского ПО.
Степень серьёзности уязвимости подтверждается её оценкой по шкале CVSS v3.1 - 9.0 баллов из 10. Полный вектор атаки описывается как CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H. Расшифровка этой сложной аббревиатуры говорит о следующем: для атаки не требуется физический доступ или права пользователя, а её сложность оценивается как высокая. Однако в случае успеха последствия максимально тяжёлые - полная компрометация конфиденциальности, целостности и доступности системы, причём угроза может распространиться на все связанные ресурсы.
Под угрозой находятся все развёртывания ScreenConnect версий ранее 26.1. В ответ ConnectWise выпустила версию 26.1, в которой реализованы существенные улучшения безопасности процессов аутентификации. Обновление кардинально меняет способ обработки машинных ключей. Вместо хранения в локальных конфигурационных файлах теперь используется зашифрованное хранилище с активным управлением ключами. Это архитектурное улучшение значительно снижает риск несанкционированного доступа, предотвращая захват сессий даже в случае частичной компрометации серверного окружения.
Что же необходимо сделать пользователям? Меры зависят от типа развёртывания. Для организаций, использующих облачную версию ScreenConnect, хостимую на инфраструктуре ConnectWise, компания уже применила все необходимые исправления на своей стороне. Клиентам облачного сервиса не требуется предпринимать никаких дополнительных действий для защиты от этой конкретной уязвимости. Однако ситуация кардинально иная для администраторов, использующих локальные, он-премис развёртывания программного обеспечения.
Им необходимо действовать немедленно и вручную. Первый шаг - загрузка и установка ScreenConnect версии 26.1 непосредственно через портал ConnectWise. Важный нюанс: администраторам с истёкшими лицензиями на техническое сопровождение необходимо сначала возобновить их, так как доступ к критическим обновлениям безопасности возможен только при активном договоре на обслуживание. Кроме того, партнёры, чья локальная установка ScreenConnect интегрирована с другой платформой компании - ConnectWise Automate, могут получить обновление 26.1 через стандартную страницу обновлений продуктов в интерфейсе Automate.
Данный инцидент в очередной раз подчёркивает критическую важность своевременного обновления программного обеспечения, особенно того, что связано с удалённым доступом и управлением системами. Такие инструменты, являясь мощным средством для ИТ-поддержки, одновременно представляют собой высокоприоритетную цель для киберпреступников. Захват всего одного сеанса удалённого администрирования может открыть путь к корпоративной сети. Эксперты рекомендуют организациям не только как можно быстрее установить предоставленный патч, но и пересмотреть свои политики управления доступом, внедрить сегментацию сети и строгий мониторинг сессий удалённого управления для минимизации подобных рисков в будущем.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-3564
- https://www.connectwise.com/company/trust/security-bulletins/2026-03-17-screenconnect-bulletin
