Site icon Sophos News

ConnectWise alerta sobre dos vulnerabilidades

El 19 de febrero de 2024, ConnectWise publicó un aviso de seguridad para su software de supervisión y gestión remotas (RMM). El aviso destacaba dos vulnerabilidades que afectan a versiones anteriores de ScreenConnect y que se han mitigado en la versión 23.9.8 y posteriores. ConnectWise afirma en el aviso que estas vulnerabilidades están calificadas como “Críticas-Vulnerabilidades que podrían permitir ejecutar código remoto o afectar directamente a datos confidenciales o sistemas críticos“. Las dos vulnerabilidades son:

Las implementaciones de ScreenConnect alojadas en la nube, incluidas screenconnect.com y hostedrmm.com, ya han recibido actualizaciones para solucionar estas vulnerabilidades. Las instancias autoalojadas (on-premise) siguen estando en riesgo hasta que se actualicen manualmente, y nuestra recomendación es parchear a la versión 23.9.8 inmediatamente. La actualización está disponible en la página de descargas de ScreenConnect.

El 21 de febrero se publicó en GitHub un código de prueba de concepto (PoC) que aprovecha estas vulnerabilidades y añade un nuevo usuario al sistema comprometido. ConnectWise también ha actualizado su informe inicial para incluir la explotación activa y observada de estas vulnerabilidades.

Lo que debes hacer

Qué está haciendo Sophos

Sophos está siguiendo activamente la evolución de estas vulnerabilidades de ScreenConnect y su explotación. Las siguientes reglas de detección se implementaron anteriormente para identificar el abuso de ScreenConnect y siguen siendo viables para identificar la actividad posterior a la explotación.

Seguimos garantizando la protección y la cobertura de detección a medida que se producen cambios y hemos publicado una regla de prevención (ATK/SCBypass-A) y estamos probando firmas similares basadas en la red (IPS) para combatir la prueba de concepto pública y otros abusos futuros.

Para los clientes de MDR (Detección y Respuesta Gestionadas), hemos iniciado una campaña de caza de amenazas en todo el cliente, y nuestros analistas de MDR se pondrán en contacto rápidamente si se observa alguna actividad. Nuestro equipo de MDR vigilará diligentemente los entornos de nuestros clientes en busca de comportamientos sospechosos y responderá según sea necesario. Proporcionaremos más actualizaciones a medida que dispongamos de más información.

Agradecimientos

Anthony Bradshaw, Paul Jaramillo, Jordon Olness y Benjamin Sollman han colaborado en la elaboración de este post.

Exit mobile version