Connectwise ha revelado que, debido a las preocupaciones de seguridad, planea rotar el certificado de firma de código digital utilizado para firmar ejecutables de monitoreo y administración remota (RMM) para ScreenConnect, Connectwise automatizar y Connectwise.
La compañía dijo que lo está haciendo «debido a las preocupaciones planteadas por los investigadores externos sobre cómo Screenconnect manejó ciertos datos de configuración en versiones anteriores».
La compañía no ha explicado públicamente la naturaleza del problema, pero está arrojando más luz con preguntas frecuentes privadas a las que solo los clientes pueden acceder (y luego compartidos en Reddit) –
La preocupación proviene de Screenconnect utilizando la capacidad de almacenar datos de configuración en el espacio disponible del instalador que no está firmado pero que es parte del instalador. Esta característica le permite pasar la información de configuración para las conexiones (entre el agente y el servidor), como las URL que el agente vuelve a llamar sin deshabilitar la firma. El software y otros utilizan áreas sin firmar para la personalización, pero cuando se combinan con las capacidades de las soluciones de control remoto, los estándares de seguridad de hoy permiten que se creen patrones de diseño inseguros.
Además de emitir nuevos certificados, la compañía dijo que está lanzando una actualización diseñada para mejorar la forma en que Screenconnect administra los datos de configuración antes mencionados.
La revocación del certificado digital está programada para las 8pm el 13 de junio (12 a.m. del 14 de junio, UTC). Connectwise enfatiza que este problema no involucra compromisos de sistema o certificado.
Vale la pena señalar que en todas las instancias en la nube de Automatate y RMM, Connectwise está en el proceso de actualizar automáticamente certificados y agentes.
Sin embargo, cualquier persona que use una versión local de Screenconnect o automatice debe actualizarse a la última compilación y verificar que todos los agentes se actualicen antes de la fecha de corte para evitar la interrupción del servicio.
«Ya habíamos planeado aumentar la gestión de certificados y el endurecimiento del producto, pero estos esfuerzos ahora se implementan en una línea de tiempo acelerada», dijo Connectwise. Entendemos que esto puede plantear desafíos y estamos comprometidos a apoyarlo a través de la transición. «
El desarrollo se produce días después de que reveló que al aprovechar CVE-2025-3935 para implementar un ataque de inyección de código en los estados de visualización, el actor de amenaza sospechoso de una amenaza de estado-nación ha violado el sistema y ha afectado a un pequeño número de clientes.
También permite a los atacantes confiar cada vez más en el software RMM legal, como Screenconnect para obtener acceso remoto permanente en sigilo y infiltrarse y volar bajo el radar.
Este método de ataque, llamado Live-Off-the-Land (LOTL), le permite secuestrar las características únicas del software para acceso remoto, transferencias de archivos y ejecución de comandos.
Source link
