CVE-2024-1708 : ConnectWise ScreenConnect Medusa KEV

Les faits

La CVE-2024-1708 désigne une vulnérabilité de type path traversal — variante « Zip Slip » — affectant ConnectWise ScreenConnect, l'un des outils de prise de contrôle distante les plus déployés en environnement MSP et IT entreprise. La faille porte un score CVSS v3.1 de 8.4 (vecteur AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N) et concerne toutes les versions inférieures ou égales à 23.9.7. Le 28 avril 2026, l'agence américaine CISA a inscrit la vulnérabilité au catalogue KEV après avoir confirmé son exploitation in-the-wild dans des chaînes d'attaque déployant le ransomware Medusa.

Sur le plan technique, la vulnérabilité réside dans le mécanisme de gestion des extensions ScreenConnect. Le serveur traite des archives ZIP fournies par un administrateur sans valider correctement les noms de fichiers contenus dans l'archive. Un attaquant disposant d'un accès administrateur — ou ayant obtenu un tel accès via la CVE-2024-1709, la fameuse bypass d'authentification SetupWizard.aspx — peut forger une extension contenant des entrées avec séquences de traversée de répertoires (« ../../ »). Lors de l'extraction, le serveur écrit ces fichiers à des emplacements arbitraires sur le système, typiquement directement dans le répertoire racine de l'application web pour y déposer un webshell .aspx exécutable via HTTP.

La chronologie de la découverte est instructive. La paire CVE-2024-1708 (Zip Slip) et CVE-2024-1709 (auth bypass, CVSS 10.0) a été divulguée par ConnectWise en février 2024, suite à des recherches conjointes de Huntress et Censys. Dès leur publication, les deux failles ont été exploitées massivement, conduisant à une vague de compromissions majeures chez les fournisseurs MSP. Si la 2024-1709 a été ajoutée au KEV dès 2024, la CVE-2024-1708 n'avait curieusement pas été inscrite au catalogue — un oubli corrigé le 28 avril 2026 sur la base de nouvelles preuves d'exploitation collectées par les équipes Microsoft Threat Intelligence.

D'après l'analyse Microsoft, le groupe Storm-1175, acteur affilié à la Chine spécialisé dans l'intrusion des fournisseurs IT, chaîne désormais systématiquement les deux CVE pour déployer le ransomware Medusa. La séquence opérationnelle est la suivante : exploitation de la 2024-1709 pour créer un compte admin, upload d'une extension malveillante exploitant la 2024-1708 pour déposer un webshell, exécution de commandes PowerShell pour reconnaissance latérale, déploiement de Medusa via les agents ScreenConnect pré-installés sur les endpoints managés. L'effet de levier est massif : compromettre un seul serveur ScreenConnect permet de chiffrer toute la flotte cliente du MSP.

Les capacités de détection sont documentées par Splunk Security Content et Huntress. Les indicateurs de compromission incluent : présence de fichiers .aspx ou .ashx dans App_Browsers, App_Code ou Bin du dossier ScreenConnect ; processus enfants anormaux du service ScreenConnect.Service.exe (powershell.exe, cmd.exe, certutil.exe) ; trafic sortant vers des domaines de C2 connus de Storm-1175. Le rapport Huntress souligne qu'une exploitation réussie laisse des artefacts dans les logs IIS sous la forme de requêtes POST vers /Extensions/* avec des codes 200 inattendus.

Le score CVSS de 8.4 pourrait paraître modéré comparé à la 2024-1709 (10.0), mais sa criticité réelle est supérieure dans le contexte d'une attaque chaînée. Une fois les pré-requis d'authentification levés, la 2024-1708 transforme un accès administrateur en exécution de code natif sur le système Windows hôte, avec persistance immédiate. C'est précisément cette combinaison qui a motivé l'inscription au KEV : l'agence considère que les opérateurs ransomware industrialisent désormais l'exploitation, justifiant le déclenchement de l'obligation de patch BOD 22-01 pour les agences fédérales américaines, fixée au 12 mai 2026.

Côté correctif, ConnectWise a publié dès février 2024 la version 23.9.8 qui ajoute une validation stricte des chemins lors de l'extraction des archives. Toutes les versions ultérieures (24.x, 25.x) intègrent ce correctif. Pourtant, selon les scans Censys publiés mi-avril 2026, plusieurs milliers d'instances ScreenConnect exposées sur Internet tournent encore sur des versions 22.x ou 23.x antérieures à 23.9.8 — soit deux ans après la divulgation initiale. C'est cette inertie qui alimente la campagne en cours de Storm-1175.

Pour les hébergeurs ScreenConnect Cloud (sous-domaines screenconnect.com), ConnectWise a appliqué le patch automatiquement et les clients n'ont rien à faire. En revanche, les déploiements on-premise, particulièrement nombreux chez les MSP gérant leur propre infrastructure, exigent une mise à jour manuelle. ConnectWise recommande également une rotation immédiate des secrets stockés dans le serveur (mots de passe machines, sessions actives) en cas de compromission suspectée.

Impact et exposition

L'exposition est concentrée chez les MSP et leurs clients finaux. ScreenConnect est massivement déployé pour la gestion à distance de parcs informatiques de PME, ce qui en fait une cible prioritaire pour les opérateurs ransomware cherchant à maximiser l'effet domino. Une compromission du serveur ScreenConnect d'un MSP de taille moyenne peut entraîner le chiffrement simultané de centaines, voire milliers d'endpoints clients, en quelques minutes.

Les conditions d'exploitation exigent un accès authentifié administrateur, ce qui peut sembler limitant. Mais en pratique, cet accès est trivial à obtenir via la CVE-2024-1709 sur les serveurs non patchés, ou via credential stuffing/phishing sur les comptes administrateurs MSP — souvent sans MFA dans les configurations héritées. Le chaînage 1709+1708 transforme donc une bypass d'authentification en RCE natif, contournant tout mécanisme de défense en profondeur.

L'exploitation in-the-wild est désormais industrialisée. Les rapports de Microsoft Threat Intelligence et de Huntress confirment des centaines de victimes depuis début 2026, avec une accélération marquée en avril. Storm-1175 n'est pas le seul acteur impliqué : plusieurs équipes de Threat Intelligence rapportent une diffusion du PoC dans les forums underground et son intégration dans des kits d'exploitation commerciaux.

La surface d'attaque dépasse le seul périmètre MSP. De nombreuses entreprises de taille moyenne déploient ScreenConnect en interne pour leur support IT, sans toujours appliquer une rigueur de patching équivalente à celle de leurs autres serveurs publics. Tout serveur ScreenConnect exposé à Internet sur les ports 8040/8041 par défaut est un candidat de premier plan pour les scans automatisés actuellement actifs.

Recommandations immédiates

• Mettre à jour ConnectWise ScreenConnect en version 23.9.8 ou supérieure (idéalement la dernière 25.x stable). Advisory : ConnectWise Security Bulletin CWE-22 ScreenConnect 23.9.8.
• Si patch impossible immédiatement : retirer le serveur ScreenConnect d'Internet et restreindre l'accès aux IP de gestion via firewall ou VPN.
• Auditer les répertoires App_Browsers, App_Code, Bin et le dossier racine de l'installation ScreenConnect à la recherche de fichiers .aspx, .ashx ou .dll non signés.
• Examiner les logs IIS pour des requêtes POST vers /Extensions/ avec des codes de retour 200 inattendus, surtout depuis des IP non administratives.
• Activer ou vérifier l'authentification multi-facteur sur tous les comptes administrateurs ScreenConnect.
• Pour les MSP : auditer les agents ScreenConnect déployés sur les endpoints clients et les commandes exécutées récemment via la console.