Los investigadores de seguridad dicen que un par de fallas fáciles de explotar en una popular herramienta de acceso remoto utilizada por más de un millón de empresas en todo el mundo ahora están siendo explotadas masivamente, y los piratas informáticos abusan de las vulnerabilidades para implementar ransomware y robar datos confidenciales.
El gigante de la ciberseguridad Mandiant dijo en una publicación el viernes que ha «identificado una explotación masiva» de las dos fallas en ConnectWise ScreenConnect, una popular herramienta de acceso remoto que permite a TI y a los técnicos brindar soporte técnico de forma remota directamente en los sistemas de los clientes a través de Internet.
Las dos vulnerabilidades comprenden CVE-2024-1709, una vulnerabilidad de omisión de autenticación que los investigadores consideraron «vergonzosamente fácil» de explotar para los atacantes, y CVE-2024-1708, una vulnerabilidad de recorrido de ruta que permite a los piratas informáticos colocar de forma remota código malicioso, como malware. , en instancias de clientes vulnerables de ConnectWise.
ConnectWise reveló por primera vez las fallas el 19 de febrero e instó a los clientes locales a instalar parches de seguridad de inmediato. Sin embargo, miles de servidores siguen siendo vulnerables, según datos de la Fundación Shadowservery cada uno de estos servidores puede gestionar hasta 150.000 dispositivos de clientes.
Mandiant dijo que había identificado “varios actores de amenazas” que explotan las dos fallas y advirtió que “muchos de ellos implementarán ransomware y realizarán extorsiones multifacéticas”, pero no atribuyó los ataques a grupos de amenazas específicos.
La empresa finlandesa de ciberseguridad WithSecure dijo en una publicación de blog el lunes que sus investigadores también han observado una “explotación masiva” de las fallas de ScreenConnect por parte de múltiples actores de amenazas. WithSecure dijo que estos piratas informáticos están explotando las vulnerabilidades para implementar ladrones de contraseñas, puertas traseras y, en algunos casos, ransomware.
WithSecure dijo que también observó a piratas informáticos explotando las fallas para implementar una variante de Windows de la puerta trasera KrustyLoader en sistemas ScreenConnect sin parches, el mismo tipo de puerta trasera colocada por piratas informáticos que recientemente explotaron vulnerabilidades en el software VPN corporativo de Ivanti. WithSecure dijo que aún no podía atribuir la actividad a un grupo de amenazas en particular, aunque otros han vinculado la actividad pasada a un grupo de piratería respaldado por China centrado en el espionaje.
Los investigadores de seguridad de Sophos y Huntress dijeron la semana pasada que habían observado a la banda de ransomware LockBit lanzando ataques que explotan las vulnerabilidades de ConnectWise, pocos días después de que una operación internacional de aplicación de la ley afirmara haber interrumpido las operaciones de la notoria banda de delitos cibernéticos vinculada a Rusia.
Huntress dijo en su análisis que desde entonces ha observado que un «número de adversarios» aprovechan exploits para implementar ransomware, y un «número significativo» de adversarios que utilizan exploits implementan software de minería de criptomonedas, instalan herramientas de acceso remoto «legítimas» adicionales para mantener el acceso persistente a la red de una víctima y crear nuevos usuarios en las máquinas comprometidas.
Aún no se sabe cuántos clientes o usuarios finales de ConnectWise ScreenConnect se ven afectados por estas vulnerabilidades, y los portavoces de ConnectWise no respondieron a las preguntas de TechCrunch. El sitio web de la compañía afirma que la organización proporciona su tecnología de acceso remoto a más de un millón de pequeñas y medianas empresas que administran más de 13 millones de dispositivos.
El domingo, ConnectWise canceló una entrevista preestablecida entre TechCrunch y su CISO Patrick Beggs, programada para el lunes. ConnectWise no dio el motivo de la cancelación de último momento.
¿Está usted afectado por la vulnerabilidad ConnectWise? Puede comunicarse con Carly Page de forma segura en Signal al +441536 853968 o por correo electrónico a [email protected]. También puede ponerse en contacto con TechCrunch a través de SecureDrop.