La vulnerabilidad afecta a Connectwise Recupere V2.9.7 y R1Soft SBM V6.16.3.
Connectwise ha corregido la vulnerabilidad crítica para recuperar Connectwise y R1Soft Server Backup Manager, lo que permite a los atacantes ejecutar de forma remota un código arbitrario o obtener acceso a los datos confidenciales del usuario.
Connectwise Recover es un sistema de copia de seguridad para pequeñas empresas, y R1Soft Server Backup Manager es una copia de seguridad, popular entre los proveedores de servicios. La brecha en defensa, que recibió el identificador CVE-2022-36537, afecta el marco libre ZK-A para el desarrollo de aplicaciones web AJAX, implementada completamente en Java y se usa en Connectwise.
El problema se describe como la vulnerabilidad de la omisión de la autenticación, que ocurre debido a la neutralización incorrecta de elementos especiales en el fin de semana utilizado por el componente inferior. Huntress
Un experto publicó un video que demuestra el uso de vulnerabilidad para:
- Bypass de autenticación.
- Descargar un controlador de base de datos JDBC oculto para realizar un código arbitrario.
- Uso de REST API para iniciar comandos que harán que todos los agentes de usuarios se infecten de programas maliciosos en todos los puntos finales.
La buena noticia es que Huntress no sabe sobre el uso activo de la vulnerabilidad en la naturaleza. La vulnerabilidad afecta: Recuperar v2.9.7 y versiones anteriores; R1Soft SBMS V6.16.3 y versiones anteriores. Connectwise recomienda que los usuarios instalen un parche lo antes posible, ya que la vulnerabilidad puede convertirse extremadamente rápido en un arma peligrosa en manos de los hackers informáticos.
Hay que recordar que la confidencialidad en Internet incluye el derecho o el mandato de la confidencialidad personal en relación con el almacenamiento, el uso, la provisión de terceros, así como mostrar información relacionada contigo mismo, a través de Internet.
La privacidad en Internet es un subconjunto de privacidad de datos. Los problemas de privacidad se han formulado desde el comienzo del uso conjunto a gran escala de ordenadores. La confidencialidad puede incluir información personal (PII) o información no relacionada con la PII, como el comportamiento del visitante del sitio en el sitio web. Cuando nos referimos a PII hablamos de toda información que pueda ser utilizada para identificar a una persona.
Por ejemplo, solo la edad y la dirección física pueden determinar quién es una persona, sin una divulgación clara de su nombre, ya que estos dos factores son bastante únicos para identificar generalmente a una sujeto en particular. Otras formas de PII pronto pueden incluir secciones GPS utilizadas por las aplicaciones, ya que la información diaria sobre viajes e información de rutina puede ser suficiente para identificar a una persona.
Algunos sugieren que el atractivo de los servicios en línea es transmitir datos personales. La información no se entrega siempre deliberadamente, y ese es el gran problema ético. El valor de la confidencialidad, según los expertos en seguridad, nos protege del abuso de aquellos que están en el poder, incluso si no hacemos nada malo durante la observación.
Para defenderse de este tipo de ataques es capital contar con un Ethical Hacker. De toda la oferta existente en el mercado formativo te recomendamos la Certificación en Hacking Ético-Pentesting de la Evidentia University de EE.UU; ya que en tan sólo 12 semanas, sin conocimiento previo, puedes convertirte en un experto en la materia. Además si utilizas este Código: copyhack, obtendrás un descuento del 10% en tu matrícula por ser uno de nuestros fieles lectores. No pierdas la oportunidad de formarte en una profesión con gran proyección de futuro, en la que sus profesionales ganan una media de 3672€ al mes.
