Vulnerabilidades críticas en ConnectWise ScreenConnect

Estas vulnerabilidades es probable que sean objetivo pronto, representando una amenaza significativa para las organizaciones que usan ScreenConnect. La aplicación de parches inmediata y medidas de seguridad mejoradas son cruciales.

Análisis técnico

CVE-2024-1709 (bypass de autenticación): Esta vulnerabilidad se origina en una falla no revelada en el mecanismo de autenticación de ScreenConnect, permitiendo a los atacantes evitar la autenticación por completo. Explotar esta vulnerabilidad requiere un mínimo de experiencia técnica y puede lograrse a través de solicitudes específicamente diseñadas.

CVE-2024-1708 (traversal de ruta): Esta vulnerabilidad permite a los atacantes acceder a archivos y directorios fuera de su alcance previsto. Cuando se combina con CVE-2024-1709, los atacantes pueden aprovechar esta vulnerabilidad para obtener acceso no autorizado a información sensible o ejecutar código arbitrario en el sistema afectado.

Análisis de impacto

Estas vulnerabilidades representan una amenaza significativa para las organizaciones que usan ScreenConnect, con consecuencias potenciales que incluyen:

• Violaciones de datos: Los datos sensibles, como credenciales de usuario, información financiera y propiedad intelectual, pueden ser comprometidos y exfiltrados.
• Interrupciones del sistema: Los atacantes pueden tomar el control de los sistemas, lo que lleva a interrupciones, manipulación de datos y posibles cifrados de datos.
• Pérdidas financieras: Las violaciones de datos, las interrupciones del sistema y los ataques de ransomware pueden incurrir en pérdidas financieras significativas.
• Daño reputacional: Las organizaciones pueden enfrentar daños reputacionales debido a violaciones de datos e incidentes de seguridad.

Estrategias de mitigación

Aplicar parches de inmediato: Actualizar ScreenConnect a la última versión (23.9.8) tan pronto como sea posible. Los parches están disponibles para implementaciones en sitio y en la nube. Los servidores de ScreenConnect alojados en la nube screenconnect[.]com o hostedrmm[.]com se han actualizado para remediar el problema, y no se requiere ninguna acción del usuario final.

Activar la autenticación multifactor (MFA): Implementar MFA para todos los usuarios de ScreenConnect para agregar una capa adicional de seguridad.

Revisar permisos de usuario: Conceder a los usuarios solo el nivel mínimo de acceso requerido para sus roles.

Monitorear la actividad: Vigilar la actividad sospechosa e intentos de inicio de sesión no autorizados.

Segmentar redes: Segmentar redes para limitar el impacto potencial de un ataque.

Implementar soluciones de seguridad: Implementar soluciones de seguridad de punto final y sistemas de detección/prevención de intrusiones (IDS/IPS) para detectar y prevenir actividades maliciosas.

Prueba de concepto

Se ha publicado una prueba de concepto (PoC) en GitHub por Watchtowr. Este PoC explota un bypass de autenticación para agregar un nuevo administrador dentro de ConnectWise ScreenConnect.

Conclusión

Las recientes vulnerabilidades de ScreenConnect representan una seria amenaza para las organizaciones. Hay PoCs y guías publicadas que probablemente permitirán a actores malintencionados comenzar a atacar estas vulnerabilidades.

La aplicación de parches inmediata y la implementación de medidas de seguridad sólidas serán cruciales para mitigar los riesgos. La monitorización continua y la vigilancia son esenciales para mantenerse al tanto de las amenazas en evolución y proteger datos y sistemas valiosos.