Netcrook Logo
👤 KERNELWATCHER
🗓️ 29 Apr 2026  

Backdoor nella tua cassetta degli attrezzi: la falla critica di ConnectWise ScreenConnect espone le reti IT

Un bypass critico dell’autenticazione in ConnectWise ScreenConnect ha innescato una corsa globale alle patch, mentre gli attaccanti non hanno perso tempo a sfruttare la falla.

È iniziato come un normale avviso di aggiornamento, ma si è rapidamente trasformato in una tempesta di fuoco della cybersecurity. Quando ConnectWise, l’azienda dietro il popolare software di monitoraggio e gestione remota (RMM) ScreenConnect, ha divulgato due vulnerabilità di sicurezza nel febbraio 2024 - una classificata “critica” - non sono stati solo gli amministratori IT ad drizzare le antenne. Gli hacker erano già in movimento, a sondare punti deboli nelle reti di tutto il mondo. Ora che la polvere si posa, l’incidente mostra come una singola falla in strumenti IT di fiducia possa propagarsi nel panorama digitale, minacciando aziende grandi e piccole.

L’anatomia di una violazione

ScreenConnect è una linea di vita per migliaia di team IT, perché consente di risolvere problemi da remoto, applicare patch e gestire i dispositivi. Ma da un grande potere deriva un grande rischio: una falla in uno strumento del genere può diventare un biglietto d’oro per i criminali informatici. A febbraio, ConnectWise ha rivelato due vulnerabilità che impattano ScreenConnect versione 23.9.7 e precedenti. La più grave, un bypass dell’autenticazione, permetteva agli attaccanti di eludere del tutto le protezioni di accesso, ottenendo accesso illimitato ai sistemi remoti.

Nel giro di pochi giorni dalla divulgazione, gli attori della minaccia stavano già sfruttando attivamente la falla. ConnectWise ha confermato gli attacchi e ha ricondotto i tentativi di accesso malevolo a una manciata di indirizzi IP. L’urgenza era palpabile: senza patch, qualsiasi organizzazione che utilizzasse versioni vulnerabili di ScreenConnect rischiava un compromesso su larga scala della propria infrastruttura IT.

Dalla patch al panico

ConnectWise si è affrettata a rilasciare bollettini di sicurezza e ha esortato i clienti ad aggiornare immediatamente. Ma applicare patch a software enterprise non è sempre istantaneo; sistemi critici, integrazioni legacy e processi di change management possono rallentare la risposta. Nel frattempo, gli attaccanti si sono mossi in fretta, scandagliando internet alla ricerca di istanze ScreenConnect esposte da dirottare.

Per aiutare i difensori, l’azienda di cybersecurity Mandiant è intervenuta con una guida completa alla mitigazione. Le loro raccomandazioni includevano non solo l’applicazione delle patch più recenti, ma anche l’hardening della configurazione del software e il monitoraggio di eventuali segnali di compromissione. L’incidente ha evidenziato una dura realtà: persino gli strumenti costruiti per proteggere possono diventare vettori d’attacco se lasciati senza adeguate difese.

Lezioni dalla prima linea

La falla critica di ScreenConnect è un campanello d’allarme per i team IT ovunque. La velocità dello sfruttamento mette in luce l’importanza di patch rapide e difese stratificate. La fiducia negli strumenti di gestione remota è essenziale, ma lo è anche la vigilanza - perché quando le piattaforme che tengono in piedi la tua attività diventano vettori d’attacco, la posta in gioco non potrebbe essere più alta.

WIKICROOK

  • Remote Monitoring and Management (RMM): Il Remote Monitoring and Management (RMM) comprende strumenti IT che permettono ai professionisti di controllare, monitorare e mantenere i computer da remoto - utili per l’assistenza, ma rischiosi se usati in modo improprio.
  • Authentication Bypass: L’authentication bypass è una vulnerabilità che consente agli attaccanti di saltare o ingannare il processo di login, ottenendo accesso ai sistemi senza credenziali valide.
  • Patch: Una patch è un aggiornamento software rilasciato per correggere vulnerabilità di sicurezza o bug nei programmi, aiutando a proteggere i dispositivi dalle minacce informatiche e a migliorare la stabilità.
  • Mitigation: La mitigazione è il processo di individuare e fermare gli attacchi informatici prima che causino danni, usando misure sia tecniche sia organizzative.
  • Hardening: L’hardening rafforza i sistemi riducendo le vulnerabilità, disabilitando funzionalità non necessarie e applicando misure di sicurezza per resistere agli attacchi informatici.
ConnectWise cybersecurity authentication bypass
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news