CVE-2024-1708/1709: ScreenConnect RCE 漏洞链分析

CVE-2024-1708/1709: ConnectWise ScreenConnect RCE 漏洞链深度分析

CVE-2024-1709 与 CVE-2024-1708 是 ScreenConnect 2024 年最重要的一组高危漏洞组合，业界常把这条链称为 SlashAndGrab。

这条链的危险性远高于普通 Web RCE，因为它打的不是普通业务站点，而是 RMM / 远程支持平台 本身。一旦拿下 ScreenConnect，攻击者的价值目标就不再局限于单台服务器，而是可能继续波及所有被管终端和客户环境。

CVE-2024-1709 的根因不在传统登录逻辑，而在 SetupWizard.aspx 的访问控制方式。旧版把保护逻辑建立在对请求路径的字符串精确匹配上，忽略了 ASP.NET 对附加 path segment 的处理差异。

结果是：

一旦触发认证绕过，攻击者即使面对的是已完成初始化的实例，仍可能重新访问 Setup Wizard，并在早期步骤写入新的管理员用户。

CVE-2024-1708 属于典型 Zip Slip。恶意扩展包中的文件路径如果带有目录穿越成分，旧版解压逻辑就可能把文件写到超出预期扩展目录的位置。

1709 帮攻击者拿到管理员权限，1708 帮攻击者把文件写到更隐蔽、更危险的位置；再叠加 ScreenConnect 原生扩展执行能力，就可快速形成系统级代码执行与持久化。

文章仅保留防守与研究导向描述，不提供武器化细节。

POC 应优先验证：

先拿平台，再打下游 这类漏洞最大的现实价值，在于攻击者拿到的是远程支持与 RMM 中台，而不是普通单点主机。后续很容易扩展到更多终端或客户网络。
不一定依赖 1708 也能到 RCE 公开研究指出，仅凭 1709 拿到管理员后，攻击者就已经可以滥用 ScreenConnect 原生扩展机制执行 .NET 代码，因此 1708 更多是锦上添花式的持久化与隐蔽增强。
现实攻击中会快速建立第二控制通道 野外事件中，攻击者常在拿下 ScreenConnect 后立刻部署：
- 额外远控工具
- SSH 后门
- 计划任务
- Beacon / 勒索组件
后利用目标通常不是“验证存在”，而是货币化 公开观察里，这条链被用于：
- 勒索软件
- 矿工
- Cobalt Strike
- 额外远控持久化

IIS / Web 访问日志 重点查异常的 SetupWizard.aspx 访问，尤其是：
- 带尾随 path segment 的变形路径
- 非常规来源 IP
- 非法初始化访问模式
User.xml 是关键证据 重点检查：
- 是否新增陌生管理员
- LastLoginDate
- LastActivityDate
- 是否出现明显异常的占位时间值
临时目录与文件落地 检查：
- C:\Windows\Temp\ScreenConnect\
- App_Extensions
- 根目录中异常 .aspx、.ashx、.dll、.ps1、.exe
后利用行为 重点看：
- certutil
- Invoke-WebRequest
- Defender 排除项修改
- wevtutil cl
- 附加远控安装

立即升级到 23.9.8+ 或更高版本 对自建 / on-prem 环境应立即完成升级；云托管实例虽然通常已由厂商修补，但仍要做入侵核查。
把 RMM 管理面从公网收口 ScreenConnect 这类平台不应裸露在互联网，应通过：
- VPN
- 跳板
- 白名单
- MFA 降低暴露面。
按已失陷思路做核查 打补丁并不会清掉：
- 后门用户
- 恶意扩展
- 二次远控
- 持久化载荷
同步轮换凭据与清理扩展 补丁后应继续：
- 轮换管理员密码
- 审核本地用户
- 检查扩展目录
- 清查计划任务与启动项