Una vulnerabilidad crítica parcheada esta semana en el software de escritorio remoto ConnectWise ScreenConnect ya está siendo explotada en la naturaleza. Los investigadores advierten que es trivial explotar la falla, que permite a los atacantes eludir la autenticación y obtener la ejecución remota de código en los sistemas, y ya existen vulnerabilidades de prueba de concepto.
ScreenConnect es una popular herramienta de soporte remoto con implementaciones tanto locales como en la nube. Según ConnectWise consultivo publicado el lunes, las implementaciones en la nube alojadas en screenconnect.com o hostingrmm.com han sido parcheadas automáticamente, pero los clientes necesitan actualizar urgentemente sus implementaciones locales a la versión 23.9.8.
Los datos del servicio de escaneo de Internet Censys mostraron más de 8.000 servidores ScreenConnect vulnerables cuando se reveló la vulnerabilidad. Sin embargo, el impacto de un exploit exitoso podría extenderse más allá del servidor mismo, ya que un único servidor ScreenConnect podría proporcionar a los atacantes acceso a cientos o miles de puntos finales, incluso en varias organizaciones si el servidor está administrado por un proveedor de servicios administrados (MSP).
Los atacantes han explotado vulnerabilidades en las herramientas de administración y monitoreo remoto (RMM) utilizadas por los MSP en el pasado para obtener acceso a las redes de sus clientes, y también abusaron de dichas herramientas para comando y control en otros ataques. El mes pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la Agencia de Seguridad Nacional (NSA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) emitieron un asesoramiento conjunto sobre una campaña maliciosa que involucraba correos electrónicos de phishing que conducían a la descarga de software RMM legítimo, como ScreenConnect y AnyDesk, que los atacantes luego usaban para robar dinero de las cuentas bancarias de las víctimas en una estafa de reembolso.
En su aviso original, ConnectWise dijo que no había evidencia de que las dos vulnerabilidades que reveló hubieran sido explotadas en la naturaleza, pero un día después actualizó su aviso para advertir a los clientes que: «Recibimos actualizaciones de cuentas comprometidas que nuestro equipo de respuesta a incidentes ha estado investigando». capaz de investigar y confirmar”.
Omisión de autenticación en el asistente de configuración de ScreenConnect
El parche ScreenConnect aborda dos vulnerabilidades que aún no tienen identificadores CVE: una omisión de autenticación calificada con la puntuación máxima de 10 (crítica) en la escala de gravedad CVSS y una limitación inadecuada de un nombre de ruta a un directorio restringido, también conocido como falla de recorrido de ruta, que tiene una calificación de 8,4 (alta).