(https://i.imgur.com/HNYlhSV.jpeg)
ConnectWise, proveedor líder de soluciones RMM y automatización para TI, anunció que reemplazará sus certificados de firma de código digital utilizados en los productos ScreenConnect, ConnectWise Automate y ConnectWise RMM, en respuesta a preocupaciones de seguridad planteadas por un investigador externo.
El cambio responde a la forma en que versiones anteriores de ScreenConnect gestionaban ciertos datos de configuración. Aunque ConnectWise no ha publicado detalles técnicos específicos en canales oficiales, una sección privada de preguntas frecuentes —filtrada posteriormente en Reddit— aclara la raíz del problema.
¿Cuál es la vulnerabilidad?El problema radica en que ScreenConnect almacenaba datos de configuración en una sección del instalador que no está firmada digitalmente, aunque forma parte del ejecutable. Esta sección se usaba para transmitir parámetros como la URL del servidor de callback entre el agente y el servidor, sin invalidar la firma del código.
Aunque esta práctica era común para la personalización del instalador, su uso en combinación con herramientas de control remoto podría derivar en un patrón de diseño inseguro, especialmente según los estándares modernos de ciberseguridad. Esta debilidad ha sido calificada como potencialmente riesgosa por expertos en seguridad.
Rotación de certificados y nuevas medidasConnectWise anunció que la revocación de los certificados digitales existentes tendrá lugar el 13 de junio a las 8 p. m. ET (14 de junio a las 12 a. m. UTC). Paralelamente, la empresa lanzará una actualización de seguridad para ScreenConnect destinada a mejorar la gestión de datos de configuración, eliminando así vectores de riesgo.
Citar"Ya teníamos planes para fortalecer la gestión de certificados y mejorar la seguridad del producto. Ahora hemos acelerado ese calendario", explicó ConnectWise.
Además, se ha confirmado que:
- Las instancias en la nube de ConnectWise Automate y RMM ya están recibiendo la actualización de certificados automáticamente.
- Los usuarios de instalaciones locales deben actualizar sus versiones antes de la fecha límite y validar que todos los agentes estén correctamente actualizados para evitar interrupciones de servicio.
No hay evidencia de compromiso internoConnectWise enfatizó que no se ha producido una violación directa de sus sistemas o certificados digitales, aclarando que la medida es proactiva y preventiva.
Amenazas recientes y ataques avanzadosEste anuncio ocurre pocos días después de que ConnectWise revelara un incidente de seguridad en el que un presunto actor de amenazas patrocinado por un Estado-nación explotó la vulnerabilidad CVE-2025-3935, relacionada con inyección de código ViewState, para atacar a un número limitado de clientes.
A esto se suma el creciente uso de software legítimo de RMM, como ScreenConnect, por parte de ciberatacantes en campañas stealth bajo la técnica conocida como "living-off-the-land" (LotL). Esta metodología permite a los atacantes usar herramientas legítimas del entorno para movimiento lateral, transferencia de archivos y ejecución remota de comandos, eludiendo controles de seguridad tradicionales.
Fuente: https://thehackernews.com/