AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**ConnectWise anuncia rotación de certificados de firma digital en sus soluciones RMM tras alerta de seguridad**

admin

### Introducción

ConnectWise, proveedor líder de soluciones de gestión remota (RMM) y automatización para MSPs y departamentos IT, ha comunicado oficialmente la rotación inminente de sus certificados de firma digital utilizados en productos clave como ScreenConnect, ConnectWise Automate y otras soluciones de monitorización remota. Este movimiento responde a preocupaciones de seguridad identificadas por un investigador externo, las cuales afectan a la integridad en el manejo de datos de configuración en versiones previas de ScreenConnect.

### Contexto del Incidente o Vulnerabilidad

El origen de la decisión reside en un informe remitido por un investigador de seguridad independiente que detectó prácticas deficientes en la gestión de ciertos datos de configuración en versiones antiguas de ScreenConnect. Aunque ConnectWise no ha detallado públicamente la naturaleza exacta de la vulnerabilidad, la reacción de la compañía ha sido proactiva, optando por renovar los certificados de firma digital empleados en la distribución y actualización de sus binarios.

Cabe recordar que los certificados de firma digital son un componente esencial en la cadena de confianza del software, ya que permiten verificar la autenticidad e integridad de los ejecutables. La exposición o mal uso de estos certificados podría facilitar ataques de suplantación (supply chain attacks), ejecución de código arbitrario o la distribución de malware firmado, lo que incrementa la probabilidad de que las soluciones RMM sean utilizadas como vectores de ataque masivo.

### Detalles Técnicos

A la fecha, ConnectWise no ha publicado un CVE específico asociado a la vulnerabilidad, pero la naturaleza del incidente sugiere un posible abuso de la configuración para comprometer la integridad del software firmado. El vector de ataque se centraría en la explotación de versiones vulnerables de ScreenConnect, donde la manipulación de archivos de configuración podría derivar en la ejecución no autorizada de código o la escalada de privilegios.

Según los patrones observados en incidentes previos en el sector RMM (como los ataques a Kaseya o SolarWinds), los TTPs (Tactics, Techniques and Procedures) más probables estarían alineados con las técnicas del framework MITRE ATT&CK, concretamente:

– TA0001 (Initial Access): mediante la manipulación de software legítimo para obtener acceso inicial.
– T1195 (Supply Chain Compromise): aprovechando la confianza en actualizaciones de software o ejecutables firmados.
– T1078 (Valid Accounts): posible abuso de credenciales o configuración para persistencia.

En cuanto a Indicadores de Compromiso (IoC), la reutilización de certificados antiguos, hashes de ejecutables de versiones previas y patrones de acceso inusual a archivos de configuración deben ser monitorizados, especialmente en entornos donde no se haya aplicado aún la rotación.

### Impacto y Riesgos

El alcance potencial de esta vulnerabilidad es significativo, considerando que ConnectWise ocupa una cuota importante en el mercado MSP y en la gestión de infraestructuras críticas. Una explotación exitosa podría permitir a los atacantes:

– Distribuir malware firmado como legítimo, evadiendo controles de seguridad.
– Comprometer la cadena de suministro IT de múltiples organizaciones.
– Acceder a sistemas remotos gestionados por ScreenConnect y ConnectWise Automate.
– Incurrir en violaciones de datos personales (con posibles sanciones bajo GDPR o NIS2).

Se estima que hasta un 30% de los MSPs del mercado europeo utiliza alguna solución de ConnectWise, lo que eleva el riesgo sistémico en caso de explotación masiva. El daño reputacional y las posibles pérdidas económicas derivadas de incidentes supply chain ya han demostrado ser millonarias en ataques recientes (p. ej., Kaseya, con pérdidas estimadas superiores a los 70 millones de dólares).

### Medidas de Mitigación y Recomendaciones

ConnectWise ha anunciado la inminente distribución de actualizaciones firmadas con los nuevos certificados y recomienda a todos los clientes:

– Actualizar ScreenConnect, Automate y demás soluciones RMM a la versión más reciente firmada.
– Revocar la confianza en los certificados antiguos en sus políticas de endpoints y servidores.
– Monitorizar logs de acceso y cambios en archivos de configuración críticos.
– Comprobar la integridad y el origen de cualquier ejecutable o actualización relacionada con ConnectWise, utilizando herramientas de verificación de firma digital.
– Revisar y reforzar políticas de segmentación de red y privilegios mínimos en las infraestructuras gestionadas desde estas plataformas.

### Opinión de Expertos

Diversos analistas y responsables de ciberseguridad han destacado la importancia de la transparencia mostrada por ConnectWise, pero advierten sobre la creciente sofisticación de los ataques a la cadena de suministro. Según Rafael Sánchez, CISO de una consultora europea: “La rotación de certificados es una medida necesaria, pero debe ir acompañada de auditorías regulares, hardening de las soluciones RMM y formación continua a los equipos de IT. El riesgo de suplantación mediante malware firmado es una de las amenazas más serias para MSPs y sus clientes”.

### Implicaciones para Empresas y Usuarios

La incidencia subraya la necesidad de que tanto proveedores como clientes mantengan una postura de seguridad proactiva. Las empresas deben revisar sus procesos de validación de software, reforzar la detección de amenazas en sus SOC y considerar la adopción de frameworks como Zero Trust. Además, la notificación de incidentes de este tipo puede ser obligatoria bajo la normativa NIS2 o el RGPD, en función del impacto sobre datos personales y servicios esenciales.

### Conclusiones

El caso ConnectWise refuerza la importancia de la seguridad en la cadena de suministro de software, especialmente en soluciones críticas para la gestión remota y automatización. La rotación de certificados de firma digital debe ser asumida como una buena práctica periódica, no solo reactiva. Para el sector profesional, la clave está en la vigilancia activa, la actualización continua y la colaboración estrecha con los proveedores para anticipar y mitigar riesgos emergentes.

(Fuente: feeds.feedburner.com)