Ir al contenido
Nuevo informe: Consiga su copia del Informe sobre el estado de Internet 2024. | Descargar hoy
Blogs

ConnectWise ScreenConnect - CVE-2024-1709 y CVE-2024-1708

Resumen ejecutivo:

 

  • ConnectWise ha solucionado recientemente dos vulnerabilidades, CVE-2024-1709 y CVE-2024-1708que afectan a todas las versiones de su producto de software de escritorio remoto ScreenConnect.
  • CVE-2024-1709 es un explotado activamente riesgo crítico de omisión de autenticación puntuación CVSS máxima de 10 - es increíblemente fácil de explotar y se ha observado que se aprovecha para llevar a cabo actividades maliciosas posteriores, incluidos intentos de ransomware y el despliegue de herramientas adicionales de acceso remoto.
  • ConnectWise ha publicado un parche en la versión 23.9.8e se insta a los usuarios locales a actualizarse inmediatamente.. Las instancias alojadas en la nube han sido parcheadas automáticamente. En particular, se han eliminado las restricciones de licencia, lo que permite a todos los usuarios aplicar el parche independientemente del estado de la licencia.
  • A partir del martes 27 de febreroCensys observó más de 3.400 hosts ScreenConnect potencialmente vulnerables expuestos en línea, la mayoría ejecutando la versión 19.1.24566. Desde que se publicaron los parches el 19 de febrero, Censys ha observado un continuo de instancias potencialmente vulnerables expuestas en Internet.el número ha descendido un 47.7% en la última semana desde la publicación de los parches.
  • Está claro que software de acceso remoto como ScreenConnect sigue siendo uno de los principales objetivos de las amenazas. Para mejorar su postura de seguridad, las organizaciones deberían considerar proteger las interfaces web de estas herramientas detrás de cortafuegos siempre que sea posible. Restringir su exposición directa en la Internet pública reduce la superficie de ataque.
  • Censys Los clientes de Exposure Management pueden buscar instancias afectadas en sus espacios de trabajo mediante esta consulta de riesgos: risks.name: 'ConnectWise vulnerable [CVE-2024-1708, CVE-2024-1709]'
  • Censys Consulta de búsqueda para ScreenConnect expuesto: services.software:(vendor: "connectwise" and product: "control")

Introducción:

El 19 de febrero de 2024, ConnectWise anunció que había parcheado dos vulnerabilidades críticas, rastreadas como CVE-2024-1709 y CVE-2024-1708. Estas vulnerabilidades afectan a las versiones 23.9.7 y anteriores de ScreenConnect, lo que supone un riesgo importante para los usuarios locales. 

CVE-2024-1709 - Vulnerabilidad de elusión de autenticación:

ConnectWise identificó CVE-2024-1709 como una vulnerabilidad crítica de elusión de autenticación con la máxima puntuación de gravedad CVSS posible de 10. En un análisis técnico publicado por Huntress, los investigadores señalaron que explotar esta vulnerabilidad es alarmantemente trivial. Al solicitar el archivo "/SetupWizard.aspx/"con prácticamente cualquier valor de ruta final, las amenazas pueden acceder al asistente de configuración en instancias de ScreenConnect ya configuradas, sobrescribir los datos de usuario existentes y ejecutar código de forma remota mediante la creación de plugins de ScreenConnect. El autor del módulo módulo Metasploit para esta vulnerabilidad ha observado que el exploit sigue funcionando cuando se altera el caso del archivo "SetupWizard.aspx"en un objetivo Windows, pero distingue entre mayúsculas y minúsculas cuando se intenta en un objetivo Linux.

CVE-2024-1708 - Vulnerabilidad de Path Traversal:

CVE-2024-1708 es una vulnerabilidad de alta gravedad que afecta a las mismas versiones de ScreenConnect que CVE-2024-1709. Una vez que CVE-2024-1709 se explota para tomar el control de un dispositivo, CVE-2024-1708 se puede aprovechar para lograr la ejecución remota de código (RCE) en la instancia. 

Ya se ha observado ampliamente la explotación activa de estas vulnerabilidadesjunto con diversas actividades posteriores a la explotación. Las investigaciones de Huntress muestra que se ha observado a actores de amenazas intentando desplegar cargas útiles de ransomware, mineros de criptomoneda y herramientas adicionales de acceso remoto como Cobalt Strike Beacon después de obtener acceso a los dispositivos comprometidos. Sophos informó de la observación de cargas útiles de ransomware construidas utilizando una creador de ransomware LockBit filtrado. Se recomienda vigilar los registros de Microsoft IIS en busca de peticiones al archivo "/SetupWizard.aspx"que tengan un segmento de ruta al final como indicador de compromiso.

ConnectWise ha publicado un parche para ambas vulnerabilidades en la versión 23.9.8. Tenga en cuenta que las instancias alojadas en la nube ( "screenconnect[.]com" y "hostedrmm[.]com") fueron parcheadas automáticamente por el proveedor. Sin embargo, se recomienda encarecidamente a los usuarios locales que parcheen sus instancias al menos a la versión 23.9.8. ConnectWise ha renunciado a las restricciones de licencia para esta actualización, permitiendo a todos los usuarios, incluso a aquellos con licencias caducadas, actualizar sus instancias.

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) ha añadido CVE-2024-1709 a su catálogo de vulnerabilidades explotadas conocidas (KEV) con fecha límite del 29 de febrero para que las agencias federales de EE.UU. protejan sus servidores.

En esta entrada del blog, profundizaremos en los detalles de estas vulnerabilidades, en la visión global de Censyssobre el estado de exposición y vulnerabilidad, y en los pasos de corrección para salvaguardar sus sistemas.

CensysPerspectiva

Hasta el martes 27 de febrero de 2024, hemos identificado 3.434 hosts IPv4 potencialmente vulnerables expuestos en línea. Esta cifra refleja una tendencia a la baja continuada desde los más de 6.000 hosts vulnerables observados hace poco más de una semana, el 19 de febrero. 

 

Figura 1. Respuesta de Internet a las recientes vulnerabilidades de ScreenConnect CVE-2024-1709 y CVE-2024-1708, 19 - 27 de febrero de 2024

La siguiente figura muestra un mapa cronológico de los lugares donde se encontraban los hosts vulnerables de ScreenConnect entre el 19 y el 27 de febrero.

 

Figura 2. Time Lapse Map of The Internet's Response to Recent ScreenConnect Vulnerabilities CVE-2024-1709 and CVE-2024-1708, 19 - 27 February 2024 (Creado con kepler.gl)

 

El puerto TCP 8040, que sirve como puerto de salida predeterminado para ScreenConnect, es con diferencia el puerto más común en el que vemos expuestas instancias vulnerables, seguido del 80 y el 443. La versión 19.1.24566 es la más frecuente entre los hosts vulnerables.

Los siguientes gráficos reflejan el estado actual de las exposiciones relacionadas a 27 de febrero. 

Tenga en cuenta que la presencia digital de ScreenConnect se centra principalmente en Estados Unidos.

 

Figura 3. Principales países con hosts ScreenConnect expuestos y potencialmente vulnerables, 27 de febrero de 2024

 

Figura 4. Principales redes con hosts ScreenConnect expuestos potencialmente vulnerables, 27 de febrero de 2024

Entre los hosts potencialmente vulnerables, parece haber una presencia especialmente elevada de instancias alojadas en AWS (AMAZON-02 y AMAZON-AES).

Los lectores familiarizados con los blogs de Censys Research publicados anteriormente pueden reconocer estas dos redes, que han sido identificadas previamente como redes con actividad de honeypot engañosa observada actividad engañosa de honeypot y falsos positivos en múltiples ocasiones. En el momento de redactar este artículo, no hay pruebas sólidas de que se esté produciendo un comportamiento engañoso similar en estas redes en relación con el software ScreenConnect.

Dada la simplicidad y el atractivo de este exploit, podemos anticipar que cualquier instancia vulnerable de ScreenConnect expuesta públicamente corre un alto riesgo de verse comprometida en un futuro inmediato.

¿Qué se puede hacer?

Si es usuario de ScreenConnect local, actualice inmediatamente a la versión 23.9.8 como mínimo. Consulte Guía oficial de ScreenConnect sobre cómo actualizar una instalación local. Los usuarios de ScreenConnect en la nube (alojados en "screenconnect[.]com" y "hostedrmm[.]com"). Tenga en cuenta que todos los usuarios de ScreenConnect, independientemente del estado de caducidad de su licencia, pueden actualizar sus instancias como resultado del levantamiento por parte de ScreenConnect de las restricciones de licencia asociadas para facilitar la aplicación de parches.

Referencias:

 

Sobre el autor

Himaja Motheram
Investigador de seguridad
Himaja Motheram es investigador de seguridad en Censys y trabaja para responder a preguntas interesantes sobre Internet utilizando los datos de búsqueda de Censys .
Soluciones de gestión de la superficie de ataque
Más información