ConnectWise alerta sobre dos vulnerabilidades

El 19 de febrero de 2024, ConnectWise publicó un aviso de seguridad para su software de supervisión y gestión remotas (RMM). El aviso destacaba dos vulnerabilidades que afectan a versiones anteriores de ScreenConnect y que se han mitigado en la versión 23.9.8 y posteriores. ConnectWise afirma en el aviso que estas vulnerabilidades están calificadas como “Críticas-Vulnerabilidades que podrían permitir ejecutar código remoto o afectar directamente a datos confidenciales o sistemas críticos“. Las dos vulnerabilidades son:

• CVE-2024-1709 (CWE-288) – Elusión de autenticación mediante ruta o canal alternativo

  • Puntuación CVSS base de 10, que indica “Crítica”

• CVE-2024-1708 (CWE-22) – Limitación indebida de un nombre de ruta a un directorio restringido (“Path Traversal”)

  • Puntuación CVSS base de 8,4, sigue considerándose “Prioridad alta”

Las implementaciones de ScreenConnect alojadas en la nube, incluidas screenconnect.com y hostedrmm.com, ya han recibido actualizaciones para solucionar estas vulnerabilidades. Las instancias autoalojadas (on-premise) siguen estando en riesgo hasta que se actualicen manualmente, y nuestra recomendación es parchear a la versión 23.9.8 inmediatamente. La actualización está disponible en la página de descargas de ScreenConnect.

El 21 de febrero se publicó en GitHub un código de prueba de concepto (PoC) que aprovecha estas vulnerabilidades y añade un nuevo usuario al sistema comprometido. ConnectWise también ha actualizado su informe inicial para incluir la explotación activa y observada de estas vulnerabilidades.

Lo que debes hacer

• Comprueba si tienes una implementación local de ScreenConnect.

  • Si existe una versión local en tu entorno y no es la 23.9.8 o posterior, procede a actualizarla a la versión más reciente.

  • Si hay una versión local en tu entorno y ya está en 23.9.8 o posterior, no corres ningún riesgo y no es necesario que tomes ninguna otra medida.

• Si no es local y estás alojado en la nube, no corres ningún riesgo y no es necesario que tomes ninguna otra medida.

• Si tu despliegue está gestionado por un proveedor externo, confirma con él que ha actualizado la instancia a 23.9.8 o posterior.

• Si no es posible aplicar el parche, asegúrate de que el servidor ScreenConnect no es accesible a Internet hasta que se pueda aplicar el parche.

• Una vez completado el parcheado, realiza una revisión exhaustiva de la instalación de ScreenConnect en busca de cuentas desconocidas y actividad anormal del servidor.

Qué está haciendo Sophos

Sophos está siguiendo activamente la evolución de estas vulnerabilidades de ScreenConnect y su explotación. Las siguientes reglas de detección se implementaron anteriormente para identificar el abuso de ScreenConnect y siguen siendo viables para identificar la actividad posterior a la explotación.

• WIN-EXE-PRC-SCREENCONNECT-COMMAND-EXECUTION-1

• WIN-EXE-PRC-SCREENCONNECT-REMOTE-FILE-EXECUTION-1

• WIN-EXE-PRC-SCREENCONNECT-RUNFILE-EXECUTION-1

Seguimos garantizando la protección y la cobertura de detección a medida que se producen cambios y hemos publicado una regla de prevención (ATK/SCBypass-A) y estamos probando firmas similares basadas en la red (IPS) para combatir la prueba de concepto pública y otros abusos futuros.

Para los clientes de MDR (Detección y Respuesta Gestionadas), hemos iniciado una campaña de caza de amenazas en todo el cliente, y nuestros analistas de MDR se pondrán en contacto rápidamente si se observa alguna actividad. Nuestro equipo de MDR vigilará diligentemente los entornos de nuestros clientes en busca de comportamientos sospechosos y responderá según sea necesario. Proporcionaremos más actualizaciones a medida que dispongamos de más información.

Agradecimientos

Anthony Bradshaw, Paul Jaramillo, Jordon Olness y Benjamin Sollman han colaborado en la elaboración de este post.