Ocho fallas en el software MSP resaltan el potencial …



Una cadena de vulnerabilidades de ataque en el application de ConnectWise para MSP tiene similitudes con algunos de los detalles del ataque de agosto en las agencias locales y estatales de Texas.

Ocho vulnerabilidades en el software package de ConnectWise para proveedores de servicios administrados (MSP) supuestamente permiten a los atacantes ejecutar silenciosamente el código en cualquier escritorio administrado por la aplicación, una cadena de exploits con detalles similares a los ataques coordinados del pasado agosto contra las agencias gubernamentales de Texas, dijo la consultora de seguridad Bishop Fox en un comunicado. Asesoría hoy.

Individualmente, las vulnerabilidades en su mayoría no son graves, con solo una, una falla de falsificación de solicitudes entre sitios (CSRF), considerada crítica. Sin embargo, juntos, los ocho problemas, seis de los cuales se asignan identificadores de enumeración de vulnerabilidad común (CVE), podrían haberse combinado para crear una cadena de ataque que podría comprometer un servidor de handle ConnectWise y, a partir de ahí, cualquier cliente conectado, afirmó Bishop Fox.

«Un atacante que explota la cadena de ataque completa puede lograr la ejecución remota de código sin autenticar, lo que puede comprometer el servidor de management ConnectWise y, en última instancia, el punto ultimate en el que se ha instalado», dice Daniel Wooden, vicepresidente asociado de consultoría de Bishop Fox. «Esto proporcionaría un management complete sobre el punto last vulnerable».

La compañía y un tercero confirmaron las vulnerabilidades y descubrieron que ConnectWise había solucionado algunos de los problemas en el otoño con poco o ningún aviso. La cadena de ataque tiene similitudes con algunos de los detalles reportados del ataque de agosto en las agencias locales y estatales de Texas, Wooden dicho en el aviso publicado.

La autenticación multifactorial, por ejemplo, probablemente no habría ayudado a las agencias de Texas, según informes de prensa. El obispo Fox confirmó que la autenticación multifactorial tampoco ayudaría contra la cadena de ataque propuesta en su aviso.

«Esto no es una prueba de que las vulnerabilidades que descubrimos se utilizaron en el incidente», dijo Wooden. «Lo que podemos decir es que nada de lo que hemos leído sobre el ataque de ransomware de Texas descarta la posibilidad de que estas vulnerabilidades estén involucradas».

En una declaración enviada a Dark Studying, ConnectWise refutó los hallazgos y enfatizó que toma en serio la seguridad de sus productos.

«El obispo Fox no pudo proporcionar información adicional ya que la cadena de ataque para las hazañas que describieron eran conceptuales», afirmó la compañía. «Además, tanto Bishop Fox como ConnectWise acordaron que no se habían producido exploits activos de estas vulnerabilidades potenciales».

En el comunicado, ConnectWise reconoció que había solucionado seis de los ocho problemas. «Apreciamos las concepts y, en base al informe (del obispo Fox), hicimos nuestra propia investigación y evaluación interna y abordamos los puntos que plantearon en su revisión», escribió la compañía. «Con un exceso de precaución, resolvimos 6 de los 8 elementos que Bishop Fox enumeró en su informe antes del 2 de octubre de 2019».

Esta no es la primera vez que los atacantes de ransomware se infiltran en una empresa a través de los productos y servicios de ConnectWise. En noviembre de 2017, un investigador de vulnerabilidades encontró un problema en el complemento de ConnectWise para el sistema de monitoreo de crimson de Kaseya y publicó un exploit en GitHub. Los atacantes luego usaron esa vulnerabilidad para comprometer más de 1,500 sistemas e instalar ransomware, exigiendo un rescate de $ 2.6 millones del proveedor de servicios administrados.

En agosto, un ataque coordinado de ransomware codificó datos en 22 agencias locales y estatales en Texas. Subsecuente informes de prensa indicó que el atacante había utilizado una instalación susceptible del software program ConnectWise para infectar a las agencias gubernamentales.

Matt Hamilton, ex analista senior de seguridad de Bishop Fox, descubrió las últimas vulnerabilidades a mediados de septiembre. Si bien el contacto inicial con ConnectWise se realizó rápidamente, el fabricante de software package dejó de responder una semana después, dijo Bishop Fox.

«ConnectWise CISO John Ford afirmó que los hallazgos de Bishop Fox no afectaron las soluciones locales y declaró que estas vulnerabilidades no son explotables porque ConnectWise no pudo reproducirlas usando los pasos que Bishop Fox les proporcionó», declaró el obispo Fox&#39s Wood en el aviso . «Además, el Sr. Ford planteó la amenaza de una demanda por difamación. Pero la investigación del Obispo Fox encontró vulnerabilidades que, de hecho, afectan las instalaciones en las instalaciones».

Huntress Labs, un proveedor de seguridad de MSP, está realizando un esfuerzo de análisis y verificación a petición del obispo Fox. Huntress Labs descubrió que ConnectWise había parcheado o mitigado de otra manera dos de los problemas, incluida la vulnerabilidad más crítica, mitigó parcialmente otros dos defectos y dejó tres problemas sin mitigar. La prueba, que está en curso, aún no ha determinado el estado del octavo problema, el proveedor de seguridad declarado en una publicación de blog site.

Las empresas, especialmente aquellas que prestan servicios a mercados menos técnicos, deben ser transparentes y sinceros con sus clientes, dice Bishop Fox&#39s Wooden.

«Lo mejor que puede hacer una empresa es crear un mecanismo seguro y fácil de usar para que los investigadores informen sobre las vulnerabilidades que van a sus equipos de ingeniería y desarrollo, donde pueden analizarse y confirmarse», dice. «Una vez que eso ocurre, se les puede priorizar para actividades de remediación basadas en las prácticas organizacionales de las compañías».

Debido al peligro de que se publiquen tales vulnerabilidades, los clientes actuales de ConnectWise deberían solicitar claridad sobre los problemas, agrega Wooden.

«Haga un seguimiento con el soporte de ConnectWise para garantizar que se hayan producido parches, y que se hayan probado exhaustivamente, para garantizar que ya no existan vulnerabilidades que puedan dar como resultado la adquisición completa del Servidor de manage», insta. «No use el producto en su estado true hasta que se alcance la confianza».

Por su parte, ConnectWise descartó una vulnerabilidad, o cadena de vulnerabilidades, que está en el centro del incidente del ransomware de Texas.

«(T) aquí hay actores maliciosos que utilizan productos de command remoto en estafas para explotar a un consumidor o compañía a través de tergiversaciones, vulnerabilidades de pink o phishing», dijo la compañía en su declaración a Dark Reading. «Entendemos que los ataques de Texas fueron precipitados por un ataque de phishing que llevó a que las credenciales de un usuario fueran comprometidas».

Contenido relacionado:

Revisa El borde, La nueva sección de Darkish Looking through para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «El Boomerang Y2K: Lecciones de InfoSec aprendidas de un nuevo problema de corrección de fecha«.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dim Examining, MIT&#39s Engineering Overview, Popular Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más tips





Enlace a la noticia initial