Comprendiendo CVE-2024-1709 y CVE-2024-1708 - La vulnerabilidad de bypass de autenticación que sacudió la seguridad del acceso remoto

Comprendiendo CVE-2024-1709 y CVE-2024-1708 - La vulnerabilidad de bypass de autenticación que sacudió la seguridad del acceso remoto

En febrero de 2024, la comunidad de ciberseguridad fue testigo de una de las divulgaciones de vulnerabilidades más críticas del año cuando ConnectWise anunció dos fallos de seguridad severos que afectaban su software de escritorio remoto ScreenConnect en versiones 23.9.7 y anteriores. Estas vulnerabilidades, designadas como CVE-2024-1709 y CVE-2024-1708, representaron una tormenta perfecta de debilidades de seguridad que los grupos de ransomware rápidamente aprovecharon para efectos devastadores.

¿Por qué CVE-2024-1709 obtuvo un 10 perfecto?

CVE-2024-1709 recibió la puntuación máxima posible de severidad CVSS de 10.0, marcándola como una de las vulnerabilidades más críticas descubiertas en software de acceso remoto. Esta vulnerabilidad de bypass de autenticación explotaba una falla fundamental en cómo ScreenConnect procesaba las rutas URL, permitiendo a los atacantes eludir completamente los controles de seguridad.

La gravedad de la vulnerabilidad se debía a su simplicidad y impacto devastador. Con solo solicitar “/SetupWizard.aspx/literallyanything” con prácticamente cualquier valor de ruta adicional, los actores maliciosos podían acceder al asistente de configuración en instancias de ScreenConnect ya configuradas. Esto significaba que los atacantes podían crear cuentas con privilegios de administrador en sistemas comprometidos sin necesidad de credenciales.

Desglose técnico

El bypass de autenticación funcionaba explotando cómo ScreenConnect validaba el acceso a su asistente de configuración. En circunstancias normales, el asistente solo debería ser accesible durante la instalación inicial. Sin embargo, los investigadores descubrieron que el asistente de configuración es responsable de configurar el usuario administrador inicial, y la creación del usuario ocurre inmediatamente después de hacer clic en el botón “Next”, por lo que no es necesario completar completamente el asistente para explotar el sistema.

Lo que hizo esto particularmente devastador fue que completar este paso sobrescribía completamente la base de datos interna de usuarios, eliminando todos los demás usuarios locales aparte del usuario especificado en el asistente. En esencia, los atacantes podían tomar el control total de una instancia de ScreenConnect con solo una simple solicitud HTTP.

Los investigadores de seguridad denominaron esta cadena de vulnerabilidades “SlashAndGrab” debido a su método de explotación directo. Los exploits fueron descritos como “triviales” y “ridículamente fáciles”, lo que los hacía accesibles incluso para actores de amenazas relativamente poco sofisticados.

CVE-2024-1708: El cómplice de la traversión de rutas

Mientras CVE-2024-1709 acaparaba titulares por su puntuación CVSS perfecta, CVE-2024-1708 es una vulnerabilidad de traversión de rutas con una puntuación CVSS de 8.4, que afecta a ScreenConnect 23.9.7 y versiones anteriores. Aunque esta vulnerabilidad tiene una calificación menor, resultó igualmente crítica cuando se encadenó con el bypass de autenticación.

La falla de traversión de rutas involucraba una validación inadecuada al extraer archivos de archivos ZIP. Antes del parche, una extensión maliciosa podía potencialmente escribir archivos en cualquier lugar dentro del directorio de ScreenConnect en lugar de estar restringida correctamente a su subdirectorio de extensiones. Esta debilidad permitía a los atacantes colocar código malicioso en ubicaciones donde sería ejecutado con privilegios SYSTEM.

La combinación mortal

Cuando se encadenan, estas vulnerabilidades creaban una ruta de ataque completa. Un atacante primero explotaría CVE-2024-1709 para obtener acceso administrativo, y luego aprovecharía CVE-2024-1708 para lograr la ejecución remota de código subiendo extensiones maliciosas a ScreenConnect. Una vez que se tiene acceso administrativo a una instancia comprometida, es trivial crear y subir una extensión maliciosa para obtener Ejecución Remota de Código.

La respuesta ante ransomware: explotación en el mundo real

La divulgación de estas vulnerabilidades desencadenó una campaña de explotación inmediata y generalizada. CISA añadió CVE-2024-1709 a su Catálogo de Vulnerabilidades Explotadas Conocidas, basada en evidencia de explotación activa, subrayando la gravedad de la amenaza.

Grupos de ransomware en acción

Varias operaciones sofisticadas de ransomware rápidamente incorporaron estas vulnerabilidades en su arsenal de ataques. Se reportó que los grupos Black Basta y Bl00dy explotaron la vulnerabilidad, demostrando cuán rápidamente los actores de amenazas podían pivotar a nuevos vectores de ataque.

Los investigadores de seguridad observaron diversas actividades maliciosas tras una explotación exitosa. Huntress reportó que se había visto a actores de amenazas intentando desplegar cargas de ransomware, mineros de criptomonedas y herramientas de acceso remoto adicionales como Cobalt Strike Beacon tras obtener acceso a dispositivos comprometidos.

Un aspecto particularmente notable de los ataques fue el despliegue de variantes de ransomware. Los despliegues de LockBit observados se invocaron con un cifrador que parecía estar compilado alrededor del 13 de septiembre de 2022, coincidiendo con la línea de tiempo del constructor de LockBit 3.0 filtrado públicamente. Esto sugería que los actores de amenazas estaban aprovechando constructores de ransomware filtrados para desplegar rápidamente ataques mediante las vulnerabilidades de ScreenConnect.

Sophos informó haber observado cargas útiles de ransomware construidas usando un constructor de LockBit filtrado, confirmando que tanto grupos de ransomware sofisticados como atacantes oportunistas estaban explotando estos fallos.

Amenazas persistentes avanzadas en acción

Más allá de los grupos tradicionales de ransomware, actores estatales también reconocieron el valor de estas vulnerabilidades. El grupo norcoreano Kimsuky utilizó la vulnerabilidad para distribuir malware ToddleShark, una evolución de sus backdoors BabyShark y ReconShark, dirigido a entidades gubernamentales y centros de pensamiento en todo el mundo.

Impacto global y exposición

El alcance de las víctimas potenciales fue asombroso. Hasta el 21 de febrero de 2024, Unit 42 observó 18,188 direcciones IP únicas alojando ScreenConnect a nivel mundial. Esta exposición masiva creó una superficie de ataque enorme para que los actores de amenazas explotaran.

La distribución geográfica reveló un riesgo concentrado en regiones específicas. Escaneos anteriores mostraron que casi las tres cuartas partes de estos hosts estaban en EE. UU., con los diez principales países representando más del 95% de la exposición global. Esta concentración significaba que las organizaciones estadounidenses enfrentaban un riesgo particularmente agudo por estas vulnerabilidades.

La línea de tiempo de la explotación fue notablemente rápida. El 21 de febrero de 2024, se publicó en GitHub un código de prueba de concepto que explota estas vulnerabilidades y añade un nuevo usuario al sistema comprometido. En días posteriores a la divulgación, los atacantes tenían herramientas disponibles públicamente para automatizar la explotación.

Detección e indicadores forenses

Para las organizaciones que intentan determinar si han sido comprometidas, los investigadores de seguridad identificaron varios indicadores clave. Se recomienda monitorear los registros de Microsoft IIS en busca de solicitudes a la ruta “/SetupWizard.aspx” que tengan un segmento de ruta adicional como indicador de compromiso.

Otros artefactos forenses podrían revelar una explotación exitosa. Las organizaciones deben verificar la existencia de archivos XML temporales de creación de usuarios en disco dentro de un rango de tiempo específico, ya que este archivo puede ser un indicador de posible explotación de CVE-2024-1709. Además, detectar posibles explotaciones de CVE-2024-1708 implica buscar archivos .ASPX y .ASHX escritos en la carpeta App_Extensions de ScreenConnect.

Tácticas y técnicas post-exploitación

Los equipos de operaciones de seguridad observaron actividades de post-exploitación sofisticadas tras un compromiso exitoso. Los adversarios priorizaron crear sus propios usuarios usando convenciones de nombres que intentaran pasar desapercibidos, además de agregarlos a grupos con privilegios elevados.

Los atacantes demostraron creatividad en mecanismos de persistencia. Aprovecharon certutil para descargar cargas útiles de ransomware MSI, que también hicieron persistentes mediante carpetas de inicio, asegurando que su malware sobreviviera a reinicios del sistema.

El despliegue de herramientas de acceso remoto fue otra táctica común. Las instancias comprometidas de ScreenConnect se convirtieron en plataformas de lanzamiento para malware adicional, incluyendo Cobalt Strike beacons y otras herramientas de administración remota que proporcionaron a los atacantes acceso persistente y encubierto a las redes de las víctimas.

Remediación y respuesta

La respuesta de ConnectWise ante la crisis fue rápida y exhaustiva. La compañía lanzó un parche para ambas vulnerabilidades en la versión 23.9.8, y tomó la medida extraordinaria de eliminar restricciones de licencia para permitir que los clientes afectados actualicen independientemente de su estado de mantenimiento.

Para implementaciones en la nube, la remediación fue automática. Las implementaciones en la nube de ScreenConnect, incluyendo screenconnect.com y hostedrmm.com, recibieron mitigaciones en horas tras la validación para abordar estas vulnerabilidades. Sin embargo, las organizaciones con instalaciones locales debían tomar medidas inmediatas.

Estrategia de parcheo de emergencia

Las organizaciones que ya no estaban bajo mantenimiento recibieron consideración especial. ConnectWise proporcionó una versión parcheada de 22.4.20001 disponible para cualquier socio, independientemente del estado de mantenimiento, como un paso intermedio para mitigar la vulnerabilidad. Esto aseguró que incluso los clientes sin contratos de soporte activos pudieran protegerse.

Algunas organizaciones enfrentaron desafíos de licenciamiento durante el parcheo de emergencia. Para resolver esto, si surgía un error de licencia durante la actualización, se recomendaba detener los cuatro servicios de ScreenConnect y mover el archivo License.xml desde la carpeta de instalación a otra ubicación antes de continuar con la actualización.

Guía de respuesta a incidentes

Para las organizaciones que sospechan de un compromiso, los expertos en seguridad recomendaron medidas de contención agresivas. Si sospechas que tu software de ScreenConnect puede estar comprometido, prioriza asegurar tus sistemas siguiendo tu plan de respuesta a incidentes para aislar los servidores afectados y crear copias de seguridad para analizar posteriormente.

La guía enfatizó que las instancias comprometidas de ScreenConnect podrían no representar la totalidad de una brecha. Un servidor de ScreenConnect comprometido puede no ser el único punto de entrada, por lo que la respuesta a incidentes debe abarcar todo tu sistema para identificar y abordar vulnerabilidades de seguridad más amplias.

El equipo de Mandiant de Google proporcionó recomendaciones adicionales de fortalecimiento. Se recomienda revisar guías de remediación completas que vayan más allá del simple parcheo, incluyendo endurecimiento de configuración, segmentación de red y capacidades de monitoreo mejoradas.

Impacto a largo plazo y lecciones aprendidas

La divulgación de la vulnerabilidad de ScreenConnect tuvo implicaciones duraderas para el panorama de ciberseguridad. Este exploit marcó la primera vez que se reportaron vulnerabilidades en ScreenConnect siendo explotadas en el mundo real, cambiando fundamentalmente la percepción de la seguridad de la infraestructura de acceso remoto.

El incidente resaltó la importancia crítica de aplicar parches rápidamente en soluciones de acceso remoto. Las herramientas de monitoreo y gestión remota como ScreenConnect se han convertido en infraestructura esencial para las operaciones modernas de TI, convirtiéndolas en objetivos de alto valor para los atacantes. Cuando las vulnerabilidades en estos sistemas alcanzan puntuaciones CVSS perfectas, la carrera entre defensores y atacantes dura horas, no días.

Respuesta del proveedor y estándares de la industria

La gestión de ConnectWise ante la crisis estableció precedentes importantes para la divulgación y remediación de vulnerabilidades. Al eliminar barreras de licencia y ofrecer actualizaciones gratuitas incluso a clientes sin contratos de mantenimiento, la compañía priorizó la seguridad sobre consideraciones de ingresos. Este enfoque, aunque costoso a corto plazo, ayudó a limitar el daño general de estas vulnerabilidades.

El incidente también demostró el valor de una comunicación rápida y transparente. ConnectWise publicó boletines de seguridad detallados de manera oportuna, colaboró con investigadores de seguridad para entender las técnicas de explotación, y proporcionó guías de remediación claras. Esta colaboración entre proveedor, investigadores y la comunidad de seguridad en general fue esencial para montar una respuesta efectiva.

Cómo protegerse contra amenazas similares

Las organizaciones deben implementar varias medidas defensivas para protegerse contra vulnerabilidades similares a CVE-2024-1709 y CVE-2024-1708:

Segmentación de red: Las herramientas de acceso remoto no deben estar expuestas directamente a internet cuando sea posible. Colocar estos sistemas detrás de firewalls y VPNs reduce la superficie de ataque.

Gestión rápida de parches: Las vulnerabilidades críticas en software de acceso remoto requieren atención inmediata. Las organizaciones necesitan procesos que permitan parches de emergencia en horas tras la divulgación.

Monitoreo mejorado: Implementar registros y monitoreo robustos para soluciones de acceso remoto. Intentos de autenticación inusuales, accesos al asistente de configuración en sistemas configurados y creación sospechosa de archivos deben activar alertas.

Defensa en profundidad: No confiar únicamente en un control de seguridad. Múltiples capas de defensa aseguran que si una falla, otras puedan prevenir o detectar la brecha.

Evaluaciones de seguridad periódicas: Escaneos de vulnerabilidades y pruebas de penetración periódicas pueden identificar soluciones de acceso remoto expuestas y configuraciones débiles antes de que los atacantes lo hagan.

El contexto más amplio de la seguridad en acceso remoto

Las vulnerabilidades de ScreenConnect representan parte de una tendencia mayor de actores que apuntan a herramientas de acceso remoto y gestión. Estos sistemas ofrecen exactamente lo que buscan los atacantes: canales legítimos y confiables para acceder y controlar sistemas en toda la red de una organización.

La pandemia de COVID-19 aceleró la adopción del trabajo remoto, haciendo que las herramientas de acceso remoto sean más prevalentes y objetivos valiosos. A medida que las organizaciones distribuyen su fuerza laboral, también distribuyen su superficie de ataque. Cada punto de acceso remoto representa una posible entrada para los atacantes, haciendo que la seguridad de estas herramientas sea primordial.

Los actores de amenazas modernos se enfocan cada vez más en ataques a la cadena de suministro y en la explotación de software confiable. En lugar de romper puertas principales, buscan usar herramientas legítimas y métodos de acceso. El software de acceso remoto proporciona un vehículo ideal para estas tácticas, ofreciendo canales autenticados y encriptados que las herramientas de seguridad suelen confiar por defecto.

Conclusión: Una llamada de atención para la seguridad del acceso remoto

Las vulnerabilidades CVE-2024-1709 y CVE-2024-1708 en ConnectWise ScreenConnect sirvieron como un recordatorio contundente de los desafíos críticos de seguridad que enfrentan las infraestructuras de acceso remoto. Con una puntuación CVSS perfecta de 10.0, explotación trivial y uso activo por múltiples grupos de ransomware, estos fallos representaron un escenario catastrófico para los defensores.

El desarrollo y despliegue rápidos de exploits, junto con la enorme cantidad de sistemas expuestos en todo el mundo, crearon una crisis que exigió acción inmediata de las organizaciones que usan ScreenConnect. La rápida respuesta de ConnectWise, los investigadores de seguridad y la comunidad en general demostraron la importancia de una divulgación y remediación coordinadas.

De cara al futuro, las lecciones de este incidente siguen siendo relevantes. Las herramientas de acceso remoto seguirán siendo objetivos de alto valor para los atacantes. Las organizaciones deben priorizar la seguridad de estos sistemas mediante parches rápidos, segmentación de red, monitoreo mejorado y estrategias de defensa en profundidad. Los riesgos son demasiado altos para tratar la seguridad del acceso remoto como una consideración secundaria.

A medida que los grupos de ransomware y actores estatales continúan evolucionando sus tácticas, la comunidad de seguridad debe mantenerse vigilante. La vulnerabilidad en el acceso remoto de hoy podría convertirse en la brecha de datos masiva o brote de ransomware del mañana. Las vulnerabilidades en ScreenConnect demostraron que incluso software maduro y ampliamente desplegado puede albergar fallos críticos que los atacantes aprovecharán rápidamente.

La puntuación CVSS perfecta de 10 asignada a CVE-2024-1709 no fue una exageración: reflejaba con precisión la gravedad de una vulnerabilidad que permitía el compromiso completo del sistema con un esfuerzo mínimo. Para los profesionales de seguridad, este incidente subraya una verdad fundamental: en el panorama de amenazas actual, las puntuaciones perfectas exigen respuestas perfectas. No hay espacio para retrasos ante vulnerabilidades de esta magnitud.