Cuando las alertas y los titulares anuncian a viva voz las advertencias de una vulnerabilidad crítica en un software ampliamente utilizado, la respuesta dentro de la comunidad de seguridad cibernética debe ser decisiva y clara. Este fue precisamente el escenario que se desarrolló a principios de este año, el 19 de febrero, cuando ConnectWise emitió un aviso de seguridad para todas las versiones anteriores a la 23.9.8 de su producto local ScreenConnect, un software popular utilizado para administrar sistemas de forma remota. El aviso hacía referencia a dos vulnerabilidades (CVE-2024-1709 y CVE-2024-1708) e instaba a los usuarios a aplicar parches de inmediato. Normalmente, esto no sería motivo de alarma. Pero como una de las vulnerabilidades obtuvo una puntuación CVSS de 10, el nivel más alto de gravedad, y el aviso de ConnectWise se calificó como «crítico», la noticia dejó a los miembros del equipo de Huntress alertas. En medio de la urgencia y la incertidumbre, el equipo de Huntress se situó a la vanguardia de la respuesta y se puso en acción el mismo día. Lo que sigue es una mirada detrás de escena a la respuesta rápida, la coordinación cuidadosa y el compromiso con la protección de la comunidad que definieron esa respuesta. El papel crucial de los equipos cibernéticos: poner la experiencia en acción En tiempos de vulnerabilidad crítica y acción imperativa, es fundamental que los equipos cibernéticos apliquen rápidamente su experiencia colectiva para ayudar a acelerar la respuesta y la remediación. A pocas horas del boletín de ConnectWise, el equipo de Huntress se unió para reproducir y desarrollar con éxito una prueba de concepto que utilizaría la vulnerabilidad como arma para la omisión de la autenticación, acuñando el término «SlashAndGrab» para este exploit aparentemente básico que dejó a los usuarios notablemente susceptibles a las amenazas. Los equipos cibernéticos que hacen sonar la alarma deben trabajar con cautela y precisión, enfatizando la gravedad al tiempo que brindan pasos claros y procesables. En el momento del descubrimiento, el equipo notó que más de 8800 servidores ConnectWise seguían siendo vulnerables. Esto requirió la creación de una «vacuna» de solución urgente temporal, junto con instrucciones claras sobre cómo debían proceder los usuarios. No queríamos que los usuarios se convirtieran en blancos fáciles con esta vulnerabilidad supurando en sus sistemas. Un manual para navegar en una crisis Mike Tyson dijo la famosa frase «Todos tienen un plan hasta que reciben un puñetazo en la cara». Y cuando se ayuda a la comunidad a superar incidentes importantes, se van a recibir algunos golpes. Por eso, los equipos deben apoyarse en la experiencia, establecer manuales y fomentar una cultura de comunicación para desarrollar el plan. Paso 1. Comprenda a qué se enfrenta. Situaciones como la vulnerabilidad de ConnectWise requieren roles y comunicación claros, y que cada equipo comprenda la amenaza, el rol que desempeña y la información correcta para compartir. Si bien no se proporcionaron muchos detalles con el aviso inicial, el equipo de investigadores de amenazas y analistas de SOC de Huntress se puso a trabajar de inmediato para intentar aprender todo lo posible sobre estas vulnerabilidades. A lo largo del camino, comenzamos a documentar la información crítica de alto nivel para preparar a los equipos de marketing y soporte en sus esfuerzos. En cuestión de horas, pudimos comprender el exploit y crear un exploit de prueba de concepto (PoC). Esto es un testimonio de lo básica que era esta vulnerabilidad y lo fácil que sería para un atacante explotarla. Paso 2: Dar la alarma Es importante dar la alarma de una manera que impulse la acción y construya defensas rápidamente. Inmediatamente después del aviso, el equipo se puso en contacto con todos los socios de Huntress que tenían una versión vulnerable de ScreenConnect y reiteró la necesidad de aplicar el parche de inmediato. Enviamos más de 1600 informes de incidentes a los socios, con claros pasos a seguir incluidos, ya que sabíamos que la comunicación y la mitigación rápidas eran clave para cerrar la ventana de oportunidad para los atacantes. Otra capa de complejidad: una vez que el equipo de Huntress recreó fácilmente el exploit, sabíamos que no queríamos proporcionar detalles públicos sobre la vulnerabilidad hasta que hubiera habido tiempo suficiente para que la industria aplicara el parche. Sería demasiado peligroso que esta información estuviera fácilmente disponible para los actores de amenazas y no queríamos darles el equivalente informativo de un arma cargada. Por supuesto, no pasó mucho tiempo antes de que el secreto saliera a la luz. Los detalles del exploit fueron compartidos por varias partes, quedando ampliamente disponibles para el público y los piratas informáticos por igual. Rápidamente centramos nuestra atención en ayudar a la comunidad, publicando un análisis detallado, proporcionando orientación de detección y enfatizando la necesidad de aplicar el parche de inmediato. Una vez que una prueba de concepto está disponible públicamente, la comunicación amplia aumenta la probabilidad de que los afectados reciban las notificaciones. El beneficio de empoderar a los defensores con la PoC y las defensas aplicables reduce más el riesgo que tratar de ocultarlo. Paso 3: tomar medidas audaces En lugar de quedarnos de brazos cruzados y esperar a que las cosas empeoren (muy, muy mal), hicimos algo al respecto, publicando la revisión de la vacuna para los hosts que ejecutan la versión vulnerable. Una revisión podría frustrar temporalmente a los actores maliciosos y, al mismo tiempo, dar tiempo a los usuarios para aplicar el parche y actualizar adecuadamente. En cuestión de horas, nuestra revisión y la guía de detección adicional estaban disponibles y nuestro equipo las compartió públicamente, con detalles paso a paso para los socios y las organizaciones afectadas. A medida que llegaba más información, agregamos nuevo contenido e información sobre todo lo relacionado con SlashAndGrab. En caso de duda, sea proactivo. La capacidad de un equipo para tomar el asunto en sus propias manos y comunicarse rápidamente puede marcar la diferencia en cómo responde la comunidad. Equipos cibernéticos más eficientes = respuesta más fuerte Como dijo nuestro director ejecutivo, Kyle Hanslovan: “Esta situación era mala”. Pero no tenía por qué empeorar. Con una respuesta coordinada que incluya un manual sólido para afrontar situaciones de crisis, los equipos cibernéticos pueden convertirse en parte de la solución y proteger a la comunidad de manera más rápida y eficaz.