Cuando se descubre una nueva vulnerabilidad, los equipos de TI y seguridad necesitan actuar rápidamente para protegerse contra ella. Para los usuarios de ConnectWise ScreenConnect, ese momento es ahora, ya que la vulnerabilidad CVE-2024-1708 se está explotando activamente.
CISA agregó CVE-2024-1708 a su catálogo de Vulnerabilidades Explotadas Conocidas después de evidencia de explotación activa. La vulnerabilidad tiene una puntuación de gravedad alta en CVSS de 8.4 y puede permitir la ejecución remota de código o impactar directamente en datos confidenciales y sistemas críticos
Cuando las plataformas de soporte remoto son vulnerables a ataques, el daño puede extenderse a múltiples endpoints, servidores y sistemas. Por lo tanto, las organizaciones deben saber qué hacer cuando se descubren vulnerabilidades como esta.
¿Qué pasó con ConnectWise ScreenConnect?
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) agregó recientemente dos vulnerabilidades al catálogo de Vulnerabilidades Explotadas Conocidas (KEV), incluida la CVE-2024-1708. Esta es una vulnerabilidad de recorrido de ruta que afecta a ConnectWise ScreenConnect 23.9.7 y versiones anteriores. La vulnerabilidad puede permitir a los atacantes ejecutar código remoto o impactar directamente en datos confidenciales y sistemas críticos, lo que la convierte en un riesgo de alta severidad con una puntuación CVSS de 8.4.
ConnectWise lanzó soluciones para la vulnerabilidad en febrero de 2024. Sin embargo, la actualización de KEV de CISA muestra que las instancias sin parches siguen siendo una preocupación actual de seguridad.
También se ha observado CVE-2024-1708 en actividades de explotación que involucran CVE-2024-1709, una vulnerabilidad crítica de omisión de autenticación en ScreenConnect con una puntuación CVSS de 10.0. Juntas, estas vulnerabilidades refuerzan por qué los usuarios de ScreenConnect deberían confirmar el estado de los parches y revisar sus entornos en busca de señales de exposición.
Por qué la explotación de ScreenConnect importa para los equipos de TI
Cualquier vulnerabilidad de software es una amenaza que vale la pena mitigar, especialmente aquellas que tienen evidencia de explotación activa. Y para software de soporte remoto, el riesgo puede ser aún más grave de lo que parece a simple vista.
Las herramientas de soporte remoto pueden conectar a los técnicos con los sistemas, proporcionar acceso administrativo y gestionar tanto dispositivos supervisados como no supervisados en distintos entornos. Como tal, son objetivos de alto valor para los atacantes, ya que comprometer con éxito la herramienta puede proporcionar acceso a múltiples endpoints.
Dado el daño que puede causar el soporte remoto comprometido, la explotación de la vulnerabilidad de ScreenConnect sirve como un recordatorio contundente de la importancia de asegurar el software de soporte remoto. Los equipos de TI necesitan mantener los parches actualizados, gestionar el acceso, habilitar el registro de auditorías y identificar rápidamente el software expuesto para poder abordarlo; de lo contrario, pueden poner en riesgo a múltiples usuarios y dispositivos.
¿Por qué es especialmente importante la CVE-2024-1708?
Hay una cantidad de vulnerabilidades ahí afuera, pero su gravedad puede variar significativamente. Con una puntuación CVSS de 8,4, CVE-2024-1708 se clasifica como una vulnerabilidad de alta gravedad, pero ¿qué es lo que la hace tan crítica?
Varios factores hacen que esta vulnerabilidad sea operativamente importante para los equipos de TI:
1. Afecta a una plataforma de soporte remoto
Como se mencionó, las vulnerabilidades que afectan a las plataformas de soporte remoto pueden tener consecuencias de gran alcance, ya que se utilizan para gestionar otros sistemas. Cuando una solución de soporte remoto se ve comprometida, generalmente ya está implementada, confiada y vinculada a flujos de trabajo privilegiados, lo que facilita que los atacantes se descontrolen en los dispositivos conectados.
Una herramienta de soporte remoto expuesta puede crear un punto de entrada en las operaciones de TI más amplias, poniendo en riesgo redes enteras.
2. Ha sido encadenado con una omisión de autenticación crítica
Una vulnerabilidad por sí sola puede representar una amenaza, pero cuando se combina con otra vulnerabilidad aún más crítica, esa amenaza puede escalar exponencialmente. En este caso, CVE-2024-1708 se ha encadenado con CVE-2024-1709, una vulnerabilidad crítica de omisión de autenticación con un puntaje CVSS de 10.0.
Como resultado, la amenaza puede pasar rápidamente de “Alta” a “Crítica” si no se abordan las dos vulnerabilidades. Los equipos de TI deben evaluar las vulnerabilidades en contexto, ya que los ataques combinados pueden representar amenazas aún mayores.
3. La explotación ha sido vinculada a la actividad de ransomware
Diferentes explotaciones pueden tener distintas consecuencias, pero la vulnerabilidad CVE-2024-1708 ha sido vinculada a ataques de ransomware, convirtiéndola en una amenaza de alta prioridad. El ransomware puede bloquear redes o sistemas enteros hasta que se pague el rescate, resultando en pérdidas significativas de dinero, productividad y confianza del cliente. Por lo tanto, una vulnerabilidad que se explota activamente y que puede conducir a ataques de ransomware debe ser una alta prioridad.
4. Las vulnerabilidades antiguas pueden seguir siendo de alta prioridad
Que una vulnerabilidad sea antigua no significa que ya no sea una amenaza. CVE-2024-1708 se corrigió en febrero de 2024, pero aún puede ser explotado activamente si no se mitiga adecuadamente.
Demasiado a menudo, la gestión de vulnerabilidades se centra en las amenazas más nuevas y las divulgaciones más recientes. Sin embargo, las amenazas antiguas aún existen, por lo que los equipos de TI necesitan visibilidad sobre las vulnerabilidades más antiguas que podrían seguir presentes en sus servidores, puntos finales o infraestructura, especialmente si todavía están siendo explotadas.
Qué debería revisar los equipos de TI que usan ScreenConnect
Si tu empresa utiliza ConnectWise ScreenConnect, podrías estar preguntándote qué hacer para asegurarte de no ser víctima de este exploit. Hemos compilado una lista útil de pasos que puedes seguir para proteger tu red y dispositivos:
Confirma si ScreenConnect está implementado en tu entorno: El primer paso debería ser identificar todas las instancias en la nube, locales, auto-hospedadas y heredadas de ScreenConnect que podrías estar ejecutando. Esto asegurará que estés mirando los dispositivos correctos y no te pierdas ninguna instancia.
Comprueba la versión que se ejecuta en cada instancia: Incluso si estás usando ScreenConnect, podría ser una versión que no está en riesgo. Comprueba y confirma si algún despliegue de ScreenConnect está ejecutando una versión afectada por CVE-2024-1708 (o cualquier vulnerabilidad relacionada de ScreenConnect).
Verificar el estado del parche: Si tus dispositivos están correctamente parchados, ya podrías estar seguro. Tu siguiente paso debe ser verificar el estado de tus parches y confirmar que las actualizaciones se aplicaron con éxito (no solo programadas o asumidas como completadas).
Revisa la exposición a internet: Determina si alguna instancia de ScreenConnect, servidor o interfaz de gestión es accesible externamente. Si es así, confirma que el acceso esté restringido, parcheado, monitorizado y limitado a los administradores autorizados.
Revisar usuarios administrativos y permisos: Las cuentas antiguas que mantienen permisos de acceso pueden ser una gran vulnerabilidad de ciberseguridad. Asegúrate de verificar cuentas de administrador innecesarias, usuarios inactivos, privilegios excesivos y cualquier cuenta que falte de autenticación multifactor (MFA) que pueda estar comprometida.
Inspecciona los registros en busca de actividad sospechosa: Inspeccionar los registros puede ayudar a identificar si alguna cuenta ya está comprometida. Busca sesiones inesperadas, usuarios desconocidos, cambios de configuración, nuevas cuentas o cualquier patrón de acceso anormal que podría indicar a un mal actor.
Evalúa el impacto en la cadena: Identificar el impacto potencial de un ataque también es importante, especialmente si gestionas múltiples dispositivos. Los Proveedores de Servicios Gestionados y los equipos de TI que apoyan múltiples entornos deben verificar si los endpoints de los clientes o gestionados pueden verse afectados y tomar medidas para protegerlos.
Pasos para la remediación de documentos: Mantener una documentación clara es esencial. Registra lo que se verificó, actualizó y revisó, y mantén evidencia para auditorías o respuesta a incidentes.
Lo que esto significa para la seguridad del soporte remoto
Si quieres evitar CVE-2024-1708 y otras amenazas similares, una buena seguridad para tu software de soporte remoto es esencial. Con sólidas características de seguridad y gestión de dispositivos, puedes mejorar tus defensas contra vulnerabilidades y ataques, pero esto requiere estrategia y planificación.
Una estrategia de soporte remoto segura debe considerar:
Velocidad de parcheo y fiabilidad de las actualizaciones, preferiblemente incluyendo la automatización de parches.
Visibilidad centralizada de los dispositivos y el software implementado en ellos.
Autenticación fuerte, incluyendo MFA e inicio de sesión único (SSO) donde sea apropiado.
Permisos granulares para técnicos y controles de acceso basados en roles (RBAC) para controlar quién tiene acceso a qué.
Registro de sesiones y rastreo de auditoría para mantener la responsabilidad e identificar actividad sospechosa.
Controles seguros de acceso no supervisado.
Visibilidad clara de qué dispositivos se pueden acceder remotamente.
Flujos de trabajo de respuesta rápida para si/cuando una vulnerabilidad afecta la infraestructura de soporte remoto.
Integración entre soporte remoto, visibilidad de endpoints y remediación de parches para mejorar los flujos de trabajo y mantener todo en un solo lugar.
Preguntas para Hacer al Evaluar Herramientas de Soporte Remoto
El soporte remoto seguro requiere una solución con controles de acceso sólidos, visibilidad clara, parcheo confiable y registros auditables. Aunque hay muchas herramientas de soporte remoto en el mercado, es importante evaluar tus opciones y determinar cuáles cumplen con todas tus necesidades.
Al considerar el software de soporte remoto, ten en cuenta lo siguiente:
¿Pueden los administradores imponer MFA, SSO y permisos de acceso granulares?
¿Se puede limitar el acceso del técnico? Si es así, ¿está limitado por usuario, grupo, dispositivo o rol?
¿Están disponibles los registros de sesión para revisión y auditoría?
¿Puede controlarse el acceso no supervisado y limitarse a los usuarios autorizados?
¿Qué tan rápido se pueden probar, implementar y verificar las actualizaciones de seguridad?
¿Pueden los equipos de TI identificar software obsoleto en su entorno?
¿La plataforma permite visibilidad en endpoints distribuidos, híbridos y remotos?
¿Pueden los equipos de TI gestionar los flujos de trabajo de corrección y remediación sin necesidad de realizar un seguimiento manual?
¿La solución combina el soporte remoto con capacidades de gestión de dispositivos?
Cómo Splashtop ayuda a los equipos de TI a fortalecer la seguridad del soporte remoto
Si quieres empoderar a tus equipos de TI para que apoyen a los usuarios y dispositivos en un entorno distribuido, necesitas una solución de soporte remoto robusta y segura, además de una gestión de endpoints. Afortunadamente, Splashtop puede proporcionar justo eso.
Splashtop proporciona a los equipos de TI el acceso remoto seguro y el soporte que necesitan para gestionar dispositivos remotos desde cualquier lugar, con controles centralizados diseñados para entornos de trabajo remoto y trabajo híbrido distribuidos. Con él, los equipos pueden gestionar usuarios, dispositivos y permisos desde un solo lugar, acceder remotamente a dispositivos para la resolución práctica de problemas, y mantener la visibilidad que necesitan para respaldar entornos remotos.
Con Splashtop Autonomous Endpoint Management (Gestión autónoma de dispositivos), los equipos de TI pueden soportar dispositivos en toda su red con detección de amenazas automatizada, gestión de parches y más. Splashtop Autonomous Endpoint Management proporciona parches en tiempo real, información basada en CVE, automatización basada en políticas y visibilidad en todos los endpoints, todo desde un único panel fácil de usar. Esto ayuda a los equipos de TI a pasar de ser reactivos a ser proactivos, mejorando la seguridad en todos los dispositivos.
Splashtop incluye:
Acceso remoto seguro y soporte remoto a través de sistemas operativos y dispositivos.
Controles administrativos centralizados y permisos granulares para que la gestión sea fácil y eficiente.
Opciones de SSO/SAML, MFA, registro y grabación para mantener cada sesión segura.
Splashtop AEM para la gestión de parches en tiempo real en sistemas operativos y aplicaciones de terceros.
Inventario de endpoints e informes para ayudar a identificar software vulnerable de un vistazo.
Detección de amenazas basada en CVE e información para apoyar la priorización de parches.
Acciones uno-a-muchos y automatización para reducir el trabajo manual repetitivo.
Paneles centralizados que proporcionan visibilidad sobre el estado de los parches, la salud de los dispositivos y la preparación para auditorías.
Mantente un paso adelante de las vulnerabilidades
La vulnerabilidad de ConnectWise ScreenConnect es un recordatorio claro de la necesidad de contar con una seguridad robusta para las plataformas de soporte remoto. Estos son infraestructuras críticas de TI y deben ser tratados como tales, con controles de acceso sólidos, actualizaciones confiables y visibilidad clara del endpoint.
El soporte remoto es una excelente manera de ayudar a los usuarios y solucionar problemas de dispositivos desde cualquier lugar, pero el nivel de acceso que proporciona puede convertirse en una amenaza sin una solución segura y actualizada. Los equipos de TI deberían tomarse el tiempo para verificar si están expuestos, confirmar el estado de sus parches y evaluar si sus herramientas de soporte remoto proporcionan la seguridad y el control que necesitan.
Si tu herramienta de soporte remoto actual no proporciona la visibilidad, el control de acceso y los flujos de trabajo de gestión de dispositivos que tu equipo necesita, podría ser el momento de evaluar un enfoque más seguro y simplificado.
Descubre cómo Splashtop ayuda a los equipos de TI a ofrecer soporte remoto seguro y gestión de dispositivos desde una sola plataforma. Comenzar una prueba gratuita hoy.
