ConnectWise ha lanzado actualizaciones de software para abordar dos fallas de seguridad en su software de acceso y escritorio remoto ScreenConnect, incluido un error crítico que podría permitir la ejecución remota de código en los sistemas afectados.
El vulnerabilidadesque actualmente carecen de identificadores CVE, se enumeran a continuación:
- Omisión de autenticación mediante una ruta o canal alternativo (puntuación CVSS: 10,0)
- Limitación incorrecta de un nombre de ruta a un directorio restringido, también conocido como «recorrido de ruta» (puntuación CVSS: 8,4)
La compañía consideró crítica la gravedad de los problemas, citando que «podrían permitir la capacidad de ejecutar código remoto o impactar directamente datos confidenciales o sistemas críticos».
Ambas vulnerabilidades afectan las versiones 23.9.7 y anteriores de ScreenConnect, con correcciones disponibles en la versión 23.9.8. Las fallas fueron reportadas a la empresa el 13 de febrero de 2024.
Si bien no hay evidencia de que las deficiencias hayan sido explotadas en la naturaleza, se recomienda a los usuarios que ejecutan versiones autohospedadas o locales que actualicen a la última versión lo antes posible.
«ConnectWise también proporcionará versiones actualizadas de las versiones 22.4 a 23.9.7 para el problema crítico, pero recomienda encarecidamente que los socios actualicen a la versión 23.9.8 de ScreenConnect», dijo la compañía de software de gestión de TI.
La empresa de ciberseguridad Huntress dijo que encontró más de 8.800 servidores ejecutando una versión vulnerable de ScreenConnect. También tiene demostrado un exploit de prueba de concepto (PoC) que, según afirma, puede «recrearse con facilidad y requiere un conocimiento técnico mínimo» y usarse para evitar la autenticación en servidores ScreenConnect sin parches.