AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

El software RMM: la nueva herramienta preferida por los ciberatacantes para el acceso persistente

admin

Introducción

El software de monitorización y gestión remota (RMM, por sus siglas en inglés) se ha convertido en un elemento esencial para la administración de infraestructuras IT, especialmente en entornos empresariales con despliegues distribuidos o servicios gestionados. Sin embargo, en los últimos años, los ciberatacantes han identificado en estas plataformas una vía privilegiada para comprometer sistemas, manteniendo el acceso de manera sigilosa y eficiente. Este artículo analiza detalladamente cómo las soluciones RMM están siendo aprovechadas por actores maliciosos, las implicaciones técnicas y los riesgos concretos para los equipos de seguridad.

Contexto del Incidente o Vulnerabilidad

Originalmente diseñados para facilitar a los administradores la gestión y supervisión remota de endpoints, servidores y dispositivos de red, los productos RMM han proliferado en pymes, grandes corporaciones y proveedores de servicios gestionados (MSP). Suites como ConnectWise, Kaseya VSA, AnyDesk, TeamViewer o NinjaRMM ofrecen capacidades de automatización, despliegue de parches, control remoto y scripting.

Sin embargo, la propia naturaleza de estos softwares —su acceso privilegiado y omnipresente— los convierte en un objetivo prioritario para los atacantes. En los últimos informes de amenazas, se ha observado un incremento del 34% en incidentes donde herramientas RMM legítimas son utilizadas para el movimiento lateral, la persistencia y la evasión de controles tradicionales, como los EDR.

Detalles Técnicos

CVE y Exploits Conocidos

Entre las vulnerabilidades más explotadas destacan CVE-2021-44515 (ConnectWise Control, ejecución remota de código) y CVE-2021-30116 (Kaseya VSA, autenticación débil). Los exploits conocidos permiten desde la escalada de privilegios hasta la ejecución arbitraria de comandos sin interacción del usuario.

Vectores de Ataque

Las técnicas identificadas incluyen:
– Compromiso de credenciales de acceso RMM mediante phishing o ataques de fuerza bruta.
– Despliegue de instancias RMM “shadow” (no autorizadas) en endpoints tras la explotación inicial.
– Uso de módulos de frameworks como Metasploit para automatizar la instalación y control de agentes RMM.
– Aprovechamiento de la confianza en el tráfico RMM para exfiltración de datos y despliegue de payloads adicionales.

TTPs y Referencia MITRE ATT&CK

Las técnicas asociadas, según el framework MITRE ATT&CK, son:
– TA0003-Persistence: Uso de software legítimo para mantener el acceso (T1136, T1078).
– TA0005-Defense Evasion: Abuso de herramientas de administración remota (T1219).
– TA0007-Discovery y TA0008-Lateral Movement: Reconocimiento y movimiento lateral usando sesiones RMM.
– TA0011-Command and Control: Comunicación encubierta mediante canales cifrados nativos de RMM.

Indicadores de Compromiso (IoC)

Entre los IoC más recurrentes:
– Tráfico inusual hacia dominios de RMM no autorizados.
– Instalación de servicios o procesos con nombres similares a los de RMM legítimos.
– Logs de acceso remoto fuera de horarios habituales o desde ubicaciones geográficas anómalas.

Impacto y Riesgos

El impacto de este tipo de ataques es elevado, pues permite a los ciberatacantes operar con permisos administrativos, eludir soluciones de seguridad y desplegar herramientas adicionales (Cobalt Strike, ransomware, extractores de credenciales, etc.) casi sin detección. Se estima que un 66% de los incidentes de ransomware dirigidos a MSP en 2023 involucraron abuso de software RMM. Además, el uso de software legítimo complica la respuesta y atribución, y puede conducir a sanciones regulatorias bajo normativas como el GDPR o la próxima NIS2, debido a brechas de datos masivas.

Medidas de Mitigación y Recomendaciones

Para reducir la superficie de ataque en entornos RMM, los expertos recomiendan:
– Inventariar y auditar todas las instancias y accesos RMM en la organización.
– Limitar el acceso RMM a segmentos de red y usuarios estrictamente necesarios (principio de mínimo privilegio).
– Implementar MFA en los paneles de control y acceso remoto.
– Monitorizar logs y establecer alertas sobre comportamientos anómalos y nuevas instalaciones de agentes.
– Actualizar y parchear con regularidad las plataformas RMM, priorizando CVE críticos.
– Configurar allowlisting para el tráfico RMM autorizado y bloquear dominios/aplicaciones no aprobadas.

Opinión de Expertos

Miguel Sánchez, analista senior de amenazas en una consultora española, advierte: “El abuso de RMM es uno de los vectores más silenciosos y devastadores. La confianza depositada en estas herramientas hace que, una vez comprometidas, el atacante disponga de las mismas capacidades —o incluso más— que el propio administrador.” Desde el CERT de INCIBE destacan la importancia de la segmentación de redes y la revisión periódica de configuraciones, especialmente ante la inminente entrada en vigor de NIS2.

Implicaciones para Empresas y Usuarios

El uso malicioso de RMM plantea retos específicos para los responsables de ciberseguridad. En términos de cumplimiento, las organizaciones afectadas pueden enfrentarse a multas de hasta el 4% de su facturación anual bajo el GDPR si la brecha implica datos personales. Para los MSP, el riesgo reputacional y la posible pérdida de contratos es crítico, dado que un incidente puede comprometer a decenas o cientos de clientes simultáneamente.

Conclusiones

El software RMM, diseñado para facilitar la vida de los administradores, se ha convertido en una poderosa arma en manos de los ciberatacantes. Su abuso requiere un enfoque de defensa en profundidad, revisión continua de accesos y una vigilancia activa sobre las actividades remotas. La concienciación, el endurecimiento de configuraciones y la adopción de tecnologías de detección avanzada son ya imprescindibles para mitigar este tipo de riesgos.

(Fuente: www.darkreading.com)