ConnectWise ha revelado una vulnerabilidad de alto impacto en su plataforma ConnectWise Automate que podría permitir a los atacantes eludir la validación crítica de integridad durante la carga de complementos y los mecanismos de autoactualización del agente, lo que podría habilitar la ejecución de código malicioso en las implementaciones locales afectadas.
¿Cuál es la amenaza?
CVE-2026-9089 es una vulnerabilidad en el agente de ConnectWise Automate donde el agente no verifica completamente la autenticidad/integridad de los componentes obtenidos durante la carga de complementos y las operaciones de autoactualización. Esto coincide con CWE-494 (Descarga de código sin verificación de integridad), lo que significa que los componentes pueden ejecutarse sin someterse a una validación completa de integridad. ConnectWise describe esto como una validación de integridad inadecuada durante la adquisición de componentes del agente, lo que crea una oportunidad para que un atacante introduzca componentes manipulados en condiciones relevantes.
¿Por qué es digno de mención?
Esto es relevante porque la vulnerabilidad tiene una calificación CVSS de 8.8 (Alta) y se considera de baja complejidad, sin requerir privilegios ni interacción del usuario, utilizando un contexto de ataque de red adyacente. Además, las métricas publicadas indican un impacto potencial en la confidencialidad, la integridad y la disponibilidad, lo que aumenta la probabilidad de una vulneración grave. Esto resulta especialmente preocupante en entornos de proveedores de servicios gestionados (MSP), donde las organizaciones implementan ampliamente agentes de Automate en los puntos finales gestionados.
¿Cuál es la exposición o el riesgo?
Esta vulnerabilidad afecta a las implementaciones locales de ConnectWise Automate que ejecutan versiones anteriores a la 2026.5. ConnectWise señala que las instancias alojadas en la nube ya se han actualizado automáticamente, lo que reduce la exposición en entornos de nube gestionados. Una explotación exitosa puede permitir a un atacante ejecutar componentes maliciosos mediante la carga de complementos y la autoactualización del Agente de Automate, lo que conlleva la ejecución de código no autorizado en el sistema del agente. Esto podría proporcionar al atacante una puerta de entrada para actividades posteriores.
🛡️ Cómo reducir el riesgo (antes de que alguien más lo haga por ti)
- Actualice ConnectWise Automate local a la versión 2026.5 o posterior para solucionar el problema de validación de integridad/autenticidad que afecta a la carga de complementos y a los componentes de autoactualización.
- Revise si hay actividad anómala de carga de complementos del agente o de autoactualización, comprobando la red relacionada y la telemetría del agente/actualización en busca de indicios de descargas o comportamientos inesperados de componentes (especialmente dentro del período de tiempo de actividad inusual).
- Limite la exposición a redes adyacentes restringiendo las rutas de red y el acceso necesarios para las operaciones de Automate, lo que reduce la posibilidad de que un atacante manipule los componentes descargados durante los flujos de trabajo de carga/actualización automática de complementos.
- Cree un plan de respuesta ante incidentes para escenarios de vulneración de seguridad de Automate.
