Wprowadzenie do problemu / definicja
W marcu 2026 roku ujawniono krytyczną podatność w platformie ConnectWise ScreenConnect, oznaczoną jako CVE-2026-3564. Problem dotyczy mechanizmu uwierzytelniania i wynika z nieprawidłowej weryfikacji podpisu kryptograficznego, co może umożliwić zdalne przejęcie zaufanej sesji przez nieautoryzowanego atakującego bez interakcji użytkownika.
ScreenConnect jest szeroko wykorzystywany przez dostawców usług zarządzanych, działy IT oraz integratorów do zdalnego wsparcia i administracji urządzeniami. Z tego powodu każda krytyczna luka w tym produkcie przekłada się bezpośrednio na ryzyko operacyjne i bezpieczeństwo środowisk produkcyjnych.
W skrócie
CVE-2026-3564 dotyczy wszystkich wersji ScreenConnect wcześniejszych niż 26.1. Luka pozwala zdalnemu, nieuwierzytelnionemu napastnikowi nadużyć materiał kryptograficzny ASP.NET machine keys w celu sfałszowania zaufanego uwierzytelnienia i przejęcia sesji.
- Podatne są wersje wcześniejsze niż 26.1.
- Największe ryzyko dotyczy instalacji on-premises i self-hosted.
- Producent udostępnił poprawkę i zaktualizował własne instancje chmurowe.
- Administratorzy powinni pilnie wdrożyć aktualizację i przeanalizować logi.
Kontekst / historia
ScreenConnect od lat pozostaje jednym z kluczowych narzędzi zdalnego dostępu w środowiskach administracyjnych i serwisowych. Rozwiązania klasy RMM i remote access są jednak szczególnie atrakcyjne dla cyberprzestępców, ponieważ ich kompromitacja może zapewnić szeroki dostęp do stacji roboczych, serwerów i kont uprzywilejowanych.
W przypadku CVE-2026-3564 wskazano, iż wcześniejsze wersje ScreenConnect przechowywały unikalne klucze ASP.NET dla instancji w plikach konfiguracyjnych serwera. W określonych warunkach materiał ten mógł zostać pozyskany, a następnie wykorzystany do nieuprawnionego uwierzytelnienia sesji. Doniesienia o próbach nadużywania ujawnionego materiału kluczy dodatkowo podnoszą priorytet działań po stronie obrońców.
Wersja 26.1, opublikowana w połowie marca 2026 roku, wprowadza mechanizmy wzmacniające bezpieczeństwo obsługi kluczy kryptograficznych, w tym bezpieczniejsze przechowywanie, zarządzanie oraz uproszczoną regenerację materiału kryptograficznego.
Analiza techniczna
Podatność sklasyfikowano jako improper verification of cryptographic signature. W praktyce oznacza to, iż zaufanie do tokenów lub artefaktów sesyjnych mogło zostać naruszone, jeżeli atakujący wszedł w posiadanie odpowiedniego materiału kryptograficznego wykorzystywanego przez aplikację ASP.NET.
Przykładowy scenariusz ataku można opisać następująco:
- napastnik pozyskuje klucze machine keys przypisane do instancji ScreenConnect,
- wykorzystuje je do wygenerowania lub podrobienia zaufanych elementów uwierzytelniających,
- serwer akceptuje przygotowane dane jako poprawne,
- w rezultacie dochodzi do przejęcia aktywnej lub logicznie zaufanej sesji.
Znaczenie tej luki rośnie ze względu na charakter samego produktu. Po przejęciu sesji atakujący może wykonywać działania administracyjne w konsoli, inicjować połączenia zdalne do zarządzanych endpointów, uruchamiać polecenia, instalować złośliwe oprogramowanie albo modyfikować konfigurację środowiska. W organizacjach korzystających z ScreenConnect do zdalnego wsparcia użytkowników skutkiem może być szybkie rozszerzenie kompromitacji na kolejne systemy.
Konsekwencje / ryzyko
Najpoważniejszą konsekwencją CVE-2026-3564 jest naruszenie zaufania do sesji administracyjnych w ScreenConnect. W zależności od architektury wdrożenia i poziomu uprawnień skutki mogą być bardzo rozległe.
- nieautoryzowany dostęp do konsoli administracyjnej,
- przejęcie połączeń do stacji roboczych i serwerów,
- wykonywanie poleceń z wysokimi uprawnieniami,
- wdrożenie ransomware lub narzędzi post-exploitation,
- kradzież danych z urządzeń końcowych,
- zmiana konfiguracji agentów i mechanizmów zdalnego dostępu,
- wykorzystanie przejętej instancji jako punktu wyjścia do ruchu lateralnego.
Ryzyko jest szczególnie wysokie w środowiskach MSP oraz w organizacjach obsługujących wielu klientów lub wiele segmentów infrastruktury z jednej centralnej instancji. W takim modelu pojedyncza podatność może uruchomić efekt kaskadowy i doprowadzić do naruszenia wielu odseparowanych środowisk jednocześnie.
Dodatkowym problemem pozostaje ograniczona możliwość szybkiego potwierdzenia kompromitacji, jeżeli organizacja nie prowadzi szczegółowej analizy telemetrycznej. Brak jednoznacznych wskaźników nie powinien być traktowany jako dowód braku nadużycia.
Rekomendacje
Podstawowym działaniem obronnym jest natychmiastowa aktualizacja wszystkich instancji on-premises i self-hosted do wersji 26.1 lub nowszej. W środowiskach o wysokiej krytyczności operacyjnej aktualizacja powinna zostać połączona z przeglądem integralności instancji oraz analizą dzienników zdarzeń.
- zaktualizować ScreenConnect do najnowszej wspieranej wersji,
- zregenerować materiał kryptograficzny instancji, jeżeli istnieje podejrzenie ekspozycji kluczy lub konfiguracji,
- przeanalizować logi pod kątem nietypowych zdarzeń uwierzytelniania i nieoczekiwanych działań administracyjnych,
- sprawdzić, czy nie wystąpiły nieautoryzowane sesje do endpointów,
- ograniczyć dostęp do plików konfiguracyjnych, kopii zapasowych, eksportów konfiguracji i historycznych snapshotów,
- zweryfikować uprawnienia na poziomie serwera i samej instancji,
- dopuścić wyłącznie zaufane i aktualne rozszerzenia,
- skontrolować systemy EDR i SIEM pod kątem oznak wykonania poleceń, nowych usług i instalacji malware.
Warto również potraktować tę podatność jako impuls do szerszego przeglądu architektury bezpieczeństwa narzędzi zdalnego dostępu. Szczególne znaczenie mają segmentacja administracyjna, wieloskładnikowe uwierzytelnianie, ochrona sekretów aplikacyjnych oraz regularne testy procedur reagowania na incydenty.
Podsumowanie
CVE-2026-3564 to krytyczna luka w ConnectWise ScreenConnect, która podważa zaufanie do mechanizmów sesyjnych poprzez możliwość nadużycia materiału kryptograficznego ASP.NET. Nie jest to zwykły błąd aplikacyjny, ale podatność mogąca bezpośrednio prowadzić do przejęcia zdalnego dostępu i eskalacji incydentu do poziomu całej infrastruktury.
Najważniejszy wniosek dla organizacji jest jednoznaczny: jeżeli instancje ScreenConnect nie zostały jeszcze załatane, aktualizacja powinna zostać wdrożona natychmiast, a następnie uzupełniona o przegląd logów, ocenę ekspozycji danych konfiguracyjnych i weryfikację potencjalnych oznak nadużycia.