En bref

  • CISA a ajouté CVE-2024-1708 (ScreenConnect Zip Slip) à son catalogue KEV le 28 avril 2026.
  • Versions concernées : ConnectWise ScreenConnect 23.9.7 et antérieures.
  • Échéance fédérale : remédiation avant le 19 mai 2026.

Les faits

Le 28 avril 2026, la CISA a ajouté deux vulnérabilités à son catalogue Known Exploited Vulnerabilities. La première est CVE-2024-1708, une faille de path traversal dans ConnectWise ScreenConnect divulguée en 2024 et corrigée par la version 23.9.8. La seconde est CVE-2026-32202 (Windows Protection Mechanism Failure), avec une échéance au 12 mai 2026 pour les agences fédérales.

L'ajout de CVE-2024-1708 au KEV deux ans après sa publication s'explique par une nouvelle vague d'exploitation observée par les équipes Huntress et Unit 42. La faille, surnommée Zip Slip, exploite l'absence de contrôle de chemin lors de l'extraction d'archives ZIP d'extensions ScreenConnect : un attaquant authentifié peut écrire un binaire arbitraire dans n'importe quel répertoire du serveur, puis l'exécuter. Sources : avis CISA, BleepingComputer, Unit 42.

Impact et exposition

ScreenConnect est largement déployé chez les MSP (Managed Service Providers) et leurs clients. Une instance non patchée donne à un attaquant disposant d'un compte authentifié — par credential stuffing, phishing ou compte de support compromis — la capacité d'écrire un webshell, un binaire d'escalade ou un implant de persistance avec les privilèges du service.

Les victimes typiques de cette nouvelle vague d'exploitation sont des PME américaines et européennes qui n'ont jamais migré au-delà de la 23.9.7, faute de processus de patch management formalisé sur les outils d'administration distante.

Recommandations

  • Vérifiez la version de toutes vos instances ScreenConnect on-premises et migrez à la version 23.9.8 ou supérieure sans délai.
  • Auditez les extensions installées : listez-les via l'interface admin et hash-comparez les binaires extraits avec les versions officielles.
  • Désactivez l'upload d'extensions pour les comptes non administratifs ; revoyez la liste des comptes ayant ce privilège.
  • Recherchez les indicateurs Huntress/Unit 42 dans les logs ScreenConnect des 60 derniers jours.

Pourquoi une CVE de 2024 est-elle ajoutée au KEV en 2026 ?

L'inscription au KEV ne dépend pas de l'ancienneté de la faille mais de la preuve d'exploitation in the wild. Les chercheurs ont relevé en avril 2026 une recrudescence d'attaques utilisant CVE-2024-1708 contre des instances non patchées, ce qui a déclenché la mise à jour. C'est aussi un signal politique : les agences fédérales américaines doivent maintenant prouver le patch, pas seulement le planifier.

Comment exploiter cette faille de manière concrète ?

Un attaquant authentifié forge une archive ZIP d'extension dont les noms de fichiers contiennent des séquences ../../../. Lors de l'extraction côté serveur, ScreenConnect écrit ces fichiers en dehors du répertoire d'extension prévu, par exemple dans C:\Windows\Temp\malware.exe. Combinée à une tâche planifiée ou à un service ScreenConnect mal configuré, cette écriture devient une exécution de code arbitraire avec les privilèges du service.

Vos outils d'administration distante sont-ils à jour ?

Ayi NEDJIMI réalise des audits ciblés sur les chaînes d'administration MSP : ScreenConnect, AnyDesk, RMM, RustDesk, NinjaOne.

Demander un audit