Cuando las alertas y los titulares hacen sonar las advertencias de una vulnerabilidad crítica en el software ampliamente utilizado, la respuesta dentro de la comunidad de seguridad cibernética debe ser decisiva y clara.
Este fue precisamente este escenario que se desarrolló a principios de este año, el 19 de febrero, cuando ConnectWise emitió un aviso de seguridad para todas las versiones inferiores a 23.9.8 de su producto local ScreenConnect, un software popular utilizado para administrar sistemas de forma remota. El aviso hacía referencia a dos vulnerabilidades (CVE-2024-1709 y CVE-2024-1708) e instaba a los usuarios a aplicar parches de inmediato.
Normalmente, esto no sería motivo de alarma. Pero con una de las vulnerabilidades obteniendo una puntuación CVSS de 10, el nivel más alto de gravedad, y el aviso de ConnectWise calificado como “Crítico”, la noticia dejó los sentidos de Spidey del equipo de Huntress hormigueando.
En medio de la urgencia y la incertidumbre, el equipo de Huntress estuvo a la vanguardia de la respuesta y entró en acción el mismo día. Lo que sigue es una mirada entre bastidores a la respuesta rápida, la coordinación cuidadosa y el compromiso con la protección de la comunidad que definieron esa respuesta.
El papel crucial de los equipos cibernéticos: poner la experiencia en acción
En tiempos de vulnerabilidad crítica y acción imperativa, es primordial que los equipos cibernéticos apliquen rápidamente su experiencia colectiva para ayudar a acelerar la respuesta y la reparación. A las pocas horas del boletín ConnectWise, el equipo de Huntress se reunió para reproducir y desarrollar con éxito una prueba de concepto que convertiría en arma la vulnerabilidad para la omisión de autenticación, acuñando el término “SlashAndGrab” para este exploit aparentemente básico que dejaba a los usuarios notablemente susceptibles a las amenazas.
Los equipos cibernéticos que hacen sonar la alarma deben trabajar con precaución y precisión, enfatizando la severidad y al mismo tiempo brindando pasos claros y viables. En el momento del descubrimiento, el equipo observó que más de 8.800 servidores ConnectWise seguían siendo vulnerables. Esto requirió la creación de una “vacuna” de solución temporal, junto con instrucciones claras sobre cómo debían proceder los usuarios. No queríamos que los usuarios se convirtieran en blancos fáciles con esta vulnerabilidad enconándose en sus sistemas.
Un manual para navegar la crisis
Mike Tyson dijo la famosa frase: “Todo el mundo tiene un plan hasta que le dan un puñetazo en la cara”. Y cuando ayudes a la comunidad a superar incidentes importantes, recibirás algunos golpes. Es por eso que los equipos deben apoyarse en la experiencia, establecer guías y fomentar una cultura de comunicación para construir el plan.
Paso 1. Comprenda a qué se enfrenta.
Situaciones como la vulnerabilidad de ConnectWise requieren funciones y comunicación claras, en las que cada equipo comprenda la amenaza, el papel que desempeña y la información adecuada para compartir. Si bien no se proporcionaron muchos detalles con el aviso inicial, el equipo de investigadores de amenazas y analistas de SOC de Huntress se puso a trabajar de inmediato tratando de aprender tanto como fuera posible sobre estas vulnerabilidades.
En el camino, comenzamos a documentar la información crítica de alto nivel para preparar a los equipos de marketing y soporte en sus esfuerzos. En cuestión de horas, pudimos comprender el exploit y crear una prueba de concepto (PoC). Esto es una prueba de lo básica que era esta vulnerabilidad y de lo fácil que sería para un atacante explotarla.
Paso 2: haz sonar la alarma
Es importante hacer sonar la alarma de una manera que impulse la acción y cree defensas rápidamente. Inmediatamente después del aviso, el equipo se comunicó con todos los socios de Huntress que tenían una versión vulnerable de ScreenConnect y reiteró la necesidad de aplicar el parche de inmediato. Enviamos más de 1600 informes de incidentes a socios, con los próximos pasos claros incluidos, ya que sabíamos que la comunicación y la mitigación rápidas eran clave para cerrar la ventana de oportunidad para los atacantes.
Otra capa de complejidad: una vez que el equipo de Huntress recreó fácilmente el exploit, sabíamos que no queríamos proporcionar detalles públicos sobre la vulnerabilidad hasta que hubiera habido tiempo suficiente para que la industria parcheara. Sería demasiado peligroso que esta información estuviera disponible para los actores de amenazas y no queríamos darles el equivalente informativo de un arma cargada.
Por supuesto, no pasó mucho tiempo antes de que el secreto saliera a la luz. Los detalles del exploit fueron compartidos por varias partes y quedaron ampliamente disponibles tanto para el público como para los piratas informáticos. Rápidamente centramos nuestra atención en ayudar a la comunidad, publicando un análisis detallado, brindando orientación de detección y enfatizando la necesidad de aplicar parches de inmediato. Una vez que una prueba de concepto esté disponible públicamente, la comunicación amplia aumenta la probabilidad de que los afectados reciban las notificaciones. El beneficio de empoderar a los defensores con el PoC y las defensas aplicables reduce más el riesgo que tratar de ocultarlo.
Paso 3: tome medidas audaces
En lugar de quedarnos de brazos cruzados y esperar a que las cosas empeoren (en realidad, en realidad malo), hicimos algo al respecto y lanzamos la revisión de la vacuna a los hosts que ejecutan la versión vulnerable. Una revisión podría frustrar temporalmente a los malos actores y al mismo tiempo dar tiempo a los usuarios para parchear y actualizar adecuadamente. En cuestión de pocas horas, nuestra solución urgente y nuestra guía de detección adicional estuvieron disponibles y nuestro equipo las compartió públicamente, con detalles paso a paso para los socios y las organizaciones afectadas.
A medida que llegó más información, agregamos nuevo contenido e información sobre todo lo relacionado con SlashAndGrab. En caso de duda, sea proactivo. La capacidad de un equipo para tomar el asunto en sus propias manos y comunicarse rápidamente puede marcar la diferencia en la forma en que responde la comunidad.
Equipos cibernéticos más inteligentes = respuesta más fuerte
Para citar a nuestro director ejecutivo, Kyle Hanslovan, “Esta mierda (era) mala”. Pero no era necesario que empeorara. Con una respuesta coordinada que incluya un manual sólido para afrontar eventos de crisis, los equipos cibernéticos pueden convertirse en parte de la solución y proteger a la comunidad de manera más rápida y efectiva.