ConnectWise – Vulnerability in ScreenConnect
ConnectWise ha publicado un nuevo aviso de seguridad para su software de administración y monitoreo remoto (RMM). En este se destacan dos vulnerabilidades críticas:
| CVE | ID CWE | Descripción | Puntuación base |
| CVE-2024-1709 | CWE-288 | Omisión de autenticación mediante una ruta o canal alternativo | 10 |
| CVE-2024-1708 | CWE-22 | Limitación inadecuada de un nombre de ruta a un directorio restringido (“recorrido de ruta”) | 8.4 |
La vulnerabilidad crítica, CVE-2024-1709, permite a atacantes anónimos explotar una falla de omisión de autenticación para crear cuentas de administrador en instancias expuestas públicamente. Básicamente, un mal actor podría imitar el rol de administrador del sistema, eliminar a todos los demás usuarios y hacerse cargo de la instancia.
Mientras que la vulnerabilidad critica de recorrido de ruta, CVE-2024-1708, se produce cuando un programa no valida correctamente la entrada del usuario, permitiéndole a un atacante acceder a archivos o directorios que normalmente no deberían ser accesibles.
Por parte de ConnectWise, dentro de las 36 horas posteriores a la confirmación de la vulnerabilidad CVE-2024-1709, se aplicó una mitigación manual para todos los socios de la nube (ConnectWise ScreenConnect™, RMM y Automate/RMM alojado). Logrando que todos los clientes de la nube estén protegidos sin requerir ninguna acción por su parte.
Para los clientes que no estén alojados en la nube, hay un parche disponible para los socios autohospedados o que necesitan actualizar sus servidores a la versión 23.9.8 inmediatamente para aplicar un parche.
Es importante recalcar que las aplicaciones de escritorio remoto, como ScreenConnect, TeamViewer o RDP, son herramientas útiles para acceder a equipos de forma remota. Sin embargo, su uso conlleva un riesgo significativo, ya que exponen los sistemas a vulnerabilidades que pueden ser explotadas por piratas informáticos.
Es importante ser consciente de los riesgos asociados a las aplicaciones de escritorio remoto y tomar medidas para proteger los sistemas. Si no es necesario un acceso directo al equipo, se recomienda considerar alternativas más seguras.
Indicadores de Compromiso
- 155.133.5.15
- 155.133.5.14
- 118.69.65.60
Versiones Afectadas
ScreenConnect 23.9.7 y anteriores
Recomendaciones
- Desconecte las versiones anteriores a la 23.9.8 hasta que las actualice.
- Inspeccione las versiones actualizadas a 23.9.8 o posterior antes del 21 de febrero para detectar malware.
- Escanee su entorno para encontrar instancias de ScreenConnect no conocidas.
- Revise la instalación de ScreenConnect en busca de cuentas desconocidas y actividad anormal del servidor.
- Suponga que cualquier máquina que aloje un servidor ScreenConnect podría tener webshells u otras herramientas de acceso remoto no instaladas por su equipo de TI.
- Inspeccione su patrimonio en busca de ID de usuario o cuentas recién agregadas.
- Verifique la ubicación donde se encuentran las extensiones de ScreenConnect para webshells u otras cargas útiles.
- Implemente seguridad de endpoints en cualquier servidor utilizado actual o anteriormente para ejecutar ScreenConnect.
- Los socios autohospedados o locales deben actualizar sus servidores a la versión 23.9.8 inmediatamente para aplicar un parche.
- ConnectWise también proporcionará versiones actualizadas de las versiones 22.4 a 23.9.7 para el problema crítico, pero recomienda encarecidamente que los socios actualicen a la versión 23.9.8 de ScreenConnect.
Si utiliza la versión alojada en la nube de ScreenConnect:
- No corre ningún riesgo y no es necesario realizar ninguna otra acción; los servidores de ScreenConnect alojados en la nube “screenconnect.com” o hostedrmm.com” se han actualizado para solucionar el problema.
Si su implementación de ScreenConnect Server está alojada por un proveedor externo:
- Confirme con ellos que han actualizado su instancia a 23.9.8 o posterior.
- Si no lo han hecho, recomiende que lo desconecten hasta que se apliquen los parches.
Una vez que haya parcheado su instancia local de ScreenConnect a la última versión, debe revisar los usuarios con acceso a ScreenConnect™, es recomendado eliminar los que no sean reconocidos, cambiar las contraseñas y habilitar MFA.
Referencias
ConnectWise ScreenConnect 23.9.8 security fix
ConnectWise ScreenConnect attacks deliver malware – Sophos News
Understanding the ConnectWise ScreenConnect CVE-2024-1709 & CVE-2024-1708 | Huntress Blog
.jpg)
