El 19 de febrero de 2024, ConnectWise publicó un aviso de seguridad para su software de administración y monitoreo remoto (RMM). El aviso destacó dos vulnerabilidades que afectan a las versiones anteriores de ScreenConnect y han sido mitigado en la versión 23.9.8 y posteriores. ConnectWise afirma en el aviso que estas vulnerabilidades están clasificadas como “Crítico: vulnerabilidades que podrían permitir la capacidad de ejecutar código remoto o afectar directamente a datos confidenciales o sistemas críticos.”. Las dos vulnerabilidades son:
- CVE-2024-1709 (CWE-288): omisión de autenticación mediante ruta o canal alternativo
- Puntuación CVSS base de 10, que indica “crítico”
- CVE-2024-1708 (CWE-22): limitación inadecuada de un nombre de ruta a un directorio restringido (“recorrido de ruta”)
- Puntuación CVSS base de 8,4, todavía considerada “alta prioridad”
Las implementaciones de ScreenConnect alojadas en la nube, incluidas screenconnect.com y hostingrmm.com, ya han recibido actualizaciones para abordar estas vulnerabilidades. Las instancias autohospedadas (locales) permanecen en riesgo hasta que se actualizan manualmente, y recomendamos aplicar el parche a ScreenConnect versión 23.9.8 de inmediato. La actualización está disponible en la página de descarga de ScreenConnect.
El 21 de febrero, se lanzó un código de prueba de concepto (PoC) en GitHub que explota estas vulnerabilidades y agrega un nuevo usuario al sistema comprometido. ConnectWise también ha actualizado su informe inicial para incluir la explotación activa observada en la naturaleza de estas vulnerabilidades.
que debes hacer
- Confirme si tiene una implementación local de ScreenConnect
- Si hay una versión local en su entorno y no es 23.9.8 o posterior, continúe con la actualización a la versión más reciente.
- Si hay una versión local presente en su entorno y ya es 23.9.8 o posterior, no está en riesgo y no es necesaria ninguna otra acción.
- Si no está en las instalaciones y, en cambio, está alojado en la nube, no corre ningún riesgo y no es necesario realizar ninguna otra acción.
- Si su implementación es administrada por un proveedor externo, confirme con ellos que hayan actualizado su instancia a 23.9.8 o posterior.
- Si no es posible aplicar parches, asegúrese de que el servidor ScreenConnect no sea accesible a Internet hasta que se pueda aplicar el parche.
- Una vez que se haya completado la aplicación de parches, realice una revisión exhaustiva de la instalación de ScreenConnect en busca de cuentas desconocidas y actividad anormal del servidor.
¿Qué está haciendo Sophos?
Sophos está siguiendo activamente la evolución de estas vulnerabilidades de ScreenConnect y su explotación. Las siguientes reglas de detección se implementaron previamente para identificar el abuso de ScreenConnect y aún son viables para identificar la actividad posterior a la explotación.
- WIN-EXE-PRC-SCREENCONNECT-COMANDO-EJECUCIÓN-1
- WIN-EXE-PRC-SCREENCONNECT-REMOTE-FILE-EXECUTION-1
- WIN-EXE-PRC-SCREENCONNECT-RUNFILE-EXECUTION-1
Seguimos garantizando la cobertura de protección y detección a medida que se producen cambios y hemos publicado una regla de prevención (ATK/SCBypass-A) y estamos probando firmas similares basadas en red (IPS) para combatir la prueba pública de concepto y otros abusos futuros.
Para los clientes de MDR (detección y respuesta administradas), hemos iniciado una campaña de búsqueda de amenazas en todo el cliente y nuestros analistas de MDR se comunicarán de inmediato si se observa alguna actividad. Nuestro equipo de MDR monitoreará diligentemente los entornos de nuestros clientes para detectar comportamientos sospechosos y responderá según sea necesario. Proporcionaremos más actualizaciones a medida que haya más información disponible.
Agradecimientos
Anthony Bradshaw, Paul Jaramillo, Jordon Olness y Benjamin Sollman ayudaron en el desarrollo de esta publicación.
Fuente Original Sophos News
