Cientos de corredores de acceso inicial y bandas de ciberdelincuentes están aprovechando la omisión de autenticación CVE-2024-1709, de máxima crítica, amenazando a organizaciones y clientes intermedios.
Apenas unos días después de que comenzaran a llegar los informes iniciales de explotación de una vulnerabilidad de seguridad crítica en el servicio de administración de escritorio remoto ConnectWise ScreenConnect, los investigadores advierten que un ataque a la cadena de suministro de proporciones descomunales podría estar a punto de estallar.
Una vez que se exploten los errores, los piratas informáticos obtendrán acceso remoto a “más de diez mil servidores que controlan cientos de miles de puntos finales”, dijo el director ejecutivo de Huntress, Kyle Hanslovan, en un comentario enviado por correo electrónico, y opinó que es hora de prepararse para “el mayor incidente de ciberseguridad de 2024”.
El soporte técnico y otras personas pueden utilizar ScreenConnect para autenticarse en una máquina como si fueran el usuario. Como tal, podría permitir que los actores de amenazas se infiltren en puntos finales de alto valor y exploten sus privilegios.
Peor aún, la aplicación es ampliamente utilizada por los proveedores de servicios gestionados (MSP) para conectarse a los entornos de los clientes, por lo que también puede abrir la puerta a actores de amenazas que buscan utilizar esos MSP para el acceso posterior, similar al tsunami de ataques de Kaseya que enfrentaron las empresas. en 2021.
Los errores de ConnectWise obtienen CVE
ConnectWise reveló los errores el lunes sin CVE, después de lo cual rápidamente aparecieron exploits de prueba de concepto (PoC). El martes, ConnectWise advirtió que los errores estaban bajo un ciberataque activo. El miércoles, varios investigadores informaban de una creciente actividad cibernética.
Las vulnerabilidades ahora tienen CVE de seguimiento. Uno de ellos es una omisión de autenticación de máxima gravedad (CVE-2024-1709, CVSS 10), que permite a un atacante con acceso de red a la interfaz de administración crear una nueva cuenta de nivel de administrador en los dispositivos afectados. Se puede combinar con un segundo error, un problema de recorrido de ruta (CVE-2024-1708, CVSS 8.4) que permite el acceso no autorizado a archivos.
Los corredores de acceso inicial aumentan la actividad
Según la Fundación Shadowserver, hay al menos 8.200 instancias vulnerables de la plataforma expuestas a Internet dentro de su telemetría, la mayoría de ellas ubicadas en Estados Unidos.
“CVE-2024-1709 está ampliamente explotado en la naturaleza: 643 IP atacadas hasta la fecha por nuestros sensores”, dijo en una publicación de LinkedIn .
Los investigadores de Huntress dijeron que una fuente dentro de la comunidad de inteligencia de EE. UU. les dijo que los corredores de acceso inicial (IAB) han comenzado a atacar los errores para instalarse dentro de varios puntos finales, con la intención de vender ese acceso a grupos de ransomware.
Y, de hecho, en un caso, Huntress observó que los ciberatacantes utilizaban las vulnerabilidades de seguridad para implementar ransomware en un gobierno local, incluidos puntos finales probablemente vinculados a los sistemas del 911.
“La gran prevalencia de este software y el acceso permitido por esta vulnerabilidad indican que estamos en la cúspide de un ransomware libre para todos”, dijo Hanslovan. “Se ha demostrado que los hospitales, la infraestructura crítica y las instituciones estatales están en riesgo”.
Y añadió: “Y una vez que empiecen a impulsar sus cifradores de datos, estaría dispuesto a apostar que el 90% del software de seguridad preventiva no los detectará porque proviene de una fuente confiable”.
Mientras tanto, los investigadores de Bitdefender corroboraron la actividad y señalaron que los actores de amenazas están utilizando extensiones maliciosas para implementar un descargador capaz de instalar malware adicional en las máquinas comprometidas.
“Hemos notado varios casos de ataques potenciales que aprovechan la carpeta de extensiones de ScreenConnect, [mientras que las herramientas de seguridad] sugieren la presencia de un descargador basado en la herramienta integrada certutil.exe”, según una publicación de blog de Bitdefender en el sitio cibernético ConnectWise. actividad . “Los actores de amenazas suelen emplear esta herramienta… para iniciar la descarga de cargas maliciosas adicionales en el sistema de la víctima”.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado los errores a su catálogo de Vulnerabilidades Explotadas Conocidas .
Mitigación para CVE-2024-1709, CVE-2024-1708
Las versiones locales hasta la 23.9.7 inclusive son vulnerables, por lo que la mejor protección es identificar todos los sistemas donde se implementa ConnectWise ScreenConnect y aplicar los parches emitidos con la versión 23.9.8 de ScreenConnect .
Las organizaciones también deben estar atentas a los indicadores de compromiso (IoC) enumerados por ConnectWise en su aviso. Los investigadores de Bitdefender recomiendan monitorear la carpeta “C:\Program Files (x86)\ScreenConnect\App_Extensions\”; Bitdefender señaló que cualquier archivo .ashx y .aspx sospechoso almacenado directamente en la raíz de esa carpeta puede indicar una ejecución de código no autorizada.
Además, podría haber buenas noticias en el horizonte: “ConnectWise declaró que revocaron licencias para servidores sin parches y, aunque no está claro por nuestra parte cómo funciona esto, parece que esta vulnerabilidad sigue siendo una preocupación importante para cualquiera que ejecute una versión vulnerable o quién la haya ejecutado”. no parchear rápidamente”, agregaron los investigadores de Bitdefender. “Esto no quiere decir que las acciones de ConnectWise no estén funcionando, no estamos seguros de cómo se desarrolló en este momento”.
También te puede interesar leer: Ciberseguridad: una prioridad en la agenda de México y del mundo