«No puedo endulzarlo: esta mierda es mala», dijo el director ejecutivo de Huntress.
Los expertos en seguridad son advirtiendo que una vulnerabilidad de alto riesgo en una herramienta de acceso remoto ampliamente utilizada es «trivial y vergonzosamente fácil» de explotar, ya que el desarrollador del software confirma que piratas informáticos maliciosos están explotando activamente la falla.
La vulnerabilidad de máxima gravedad afecta a ConnectWise ScreenConnect (anteriormente ConnectWise Control), un popular software de acceso remoto que permite a los proveedores y técnicos de TI administrados brindar soporte técnico remoto en tiempo real en los sistemas de los clientes.
La falla se describe como una vulnerabilidad de omisión de autenticación que podría permitir a un atacante robar de forma remota datos confidenciales de servidores vulnerables o implementar código malicioso, como malware. La vulnerabilidad se informó por primera vez a ConnectWise el 13 de febrero y la compañía reveló públicamente los detalles del error en un aviso de seguridad publicado el 19 de febrero.
ConnectWise inicialmente dijo que no había indicios de explotación pública, pero señaló en una actualización el martes que ConnectWise confirmó que había «recibido actualizaciones de cuentas comprometidas que nuestro equipo de respuesta a incidentes pudo investigar y confirmar».
La compañía también compartió tres direcciones IP que, según dice, «fueron utilizadas recientemente por actores de amenazas».
Cuando TechCrunch le preguntó, la portavoz de ConnectWise, Amanda Lee, se negó a decir cuántos clientes se ven afectados, pero señaló que ConnectWise ha visto «informes limitados» de sospechas de intrusiones. Lee agregó que el 80% de los entornos de los clientes están basados en la nube y fueron parcheados automáticamente en 48 horas.
Cuando se le preguntó si ConnectWise tiene conocimiento de alguna filtración de datos o si tiene los medios para detectar si se accedió a algún dato, Lee dijo que «no se nos ha informado de ninguna filtración de datos».
ConnectWise, con sede en Florida, proporciona su tecnología de acceso remoto a más de un millón de pequeñas y medianas empresas, según su sitio web.
La empresa de ciberseguridad Huntress publicó el miércoles un análisis de la vulnerabilidad ConnectWise explotada activamente. El investigador de seguridad de Huntress, John Hammond, dijo a TechCrunch que Huntress es consciente de la explotación «actual y activa» y está viendo señales tempranas de que los actores de amenazas pasan a «mecanismos de persistencia y post-explotación más centrados».
«Estamos viendo que los adversarios ya implementan balizas Cobalt Strike e incluso instalan un cliente ScreenConnect en el servidor afectado», dijo Hammond, refiriéndose al popular marco de explotación Cobalt Strike, utilizado tanto por investigadores de seguridad para realizar pruebas como abusado por piratas informáticos maliciosos para ingresar. redes. «Podemos esperar más compromisos de este tipo en un futuro muy cercano».
El director ejecutivo de Huntress, Kyle Hanslovan, agregó que la telemetría de los clientes de Huntress muestra visibilidad de más de 1.600 servidores vulnerables.
“No puedo endulzarlo: esta mierda es mala. Estamos hablando de más de diez mil servidores que controlan cientos de miles de puntos finales”, dijo Hanslovan a TechCrunch, señalando que más de 8.800 servidores ConnectWise siguen siendo vulnerables a la explotación.
Hanslovan agregó que debido a la “absoluta prevalencia de este software y el acceso brindado por esta vulnerabilidad indica que estamos en la cúspide de un ransomware libre para todos”.
ConnectWise ha lanzado un parche para la vulnerabilidad explotada activamente e insta a los usuarios locales de ScreenConnect a aplicar la solución de inmediato. ConnectWise también lanzó una solución para una vulnerabilidad separada que afecta su software de escritorio remoto. Lee le dijo a TechCrunch que la compañía no ha visto evidencia de que se haya aprovechado esta falla.
A principios de este año, las agencias gubernamentales de EE. UU., CISA y la Agencia de Seguridad Nacional, advirtieron que habían observado una “campaña cibernética generalizada que involucraba el uso malicioso de software legítimo de monitoreo y administración remotos (RMM)”, incluido ConnectWise SecureConnect, dirigido a múltiples ramas ejecutivas civiles federales. agencias.
Las agencias estadounidenses también observaron a los piratas informáticos abusando del software de acceso remoto de AnyDesk, que a principios de este mes se vio obligado a restablecer contraseñas y revocar certificados después de encontrar evidencia de sistemas de producción comprometidos.
En respuesta a las consultas de TechCrunch, Eric Goldstein, subdirector ejecutivo de ciberseguridad de CISA, dijo: «CISA es consciente de una vulnerabilidad reportada que afecta a ConnectWise ScreenConnect y estamos trabajando para comprender la posible explotación a fin de brindar la orientación y asistencia necesarias».
¿Está usted afectado por la vulnerabilidad ConnectWise? Puede comunicarse con Carly Page de forma segura en Signal al +441536 853968 o por correo electrónico a [email protected]. También puede ponerse en contacto con TechCrunch a través de caída segura.