ConnectWise insta os administradores do ScreenConnect a corrigir falha crítica de RCE
21 de Fevereiro de 2024

A ConnectWise alertou seus clientes para corrigir imediatamente seus servidores ScreenConnect contra uma falha de máxima gravidade que pode ser usada em ataques de execução de código remoto (RCE).

Esse bug de segurança ocorre devido a uma fraqueza de bypass de autenticação que os invasores podem explorar para obter acesso a dados confidenciais ou executar código arbitrário remotamente em servidores vulneráveis em ataques de baixa complexidade que não requerem interação do usuário.

A empresa também corrigiu uma vulnerabilidade de percurso de caminho em seu software de desktop remoto, que só pode ser abusada por invasores com altos privilégios.

"Vulnerabilidades foram reportadas em 13 de fevereiro de 2024, através do nosso canal de divulgação de vulnerabilidades através do ConnectWise Trust Center," avisou a ConnectWise.

"Não há evidências de que essas vulnerabilidades tenham sido exploradas na natureza, mas medidas imediatas devem ser tomadas pelos parceiros locais para tratar esses riscos de segurança identificados."

A ConnectWise ainda tem que atribuir IDs CVE às duas falhas de segurança que afetam todos os servidores que executam o ScreenConnect 23.9.7 e anteriores.

Enquanto os servidores em nuvem ScreenConnect hospedados em screenconnect.com ou hostedrmm.com já estão protegidos contra potenciais ataques, os administradores que usam software local são aconselhados a atualizar seus servidores para a versão ScreenConnect 23.9.8 imediatamente.

Pesquisadores de segurança da Huntress relataram mais cedo hoje que já criaram um exploit de prova de conceito (PoC) que pode ser usado para burlar a autenticação em servidores ScreenConnect não corrigidos.

A Huntress acrescentou que uma busca na plataforma de gestão de exposição Censys permitiu-lhes encontrar mais de 8.800 servidores vulneráveis a ataques.

O Shodan também acompanha mais de 7.600 servidores ScreenConnect, com apenas 160 atualmente executando a versão corrigida do ScreenConnect 23.9.8.

​No mês passado, o CISA, a NSA e o MS-ISAC emitiram um aviso conjunto alertando que os invasores usam cada vez mais software legítimo de monitoramento e gerenciamento remoto (RMM) como o ConnectWise ScreenConnect para fins maliciosos.

Ao usar software de desktop remoto como um ponto de entrada em suas redes alvo, os atores de ameaças podem acessar seus sistemas como usuários locais sem exigir permissões de administração ou novas instalações completas de software.

Isso permite que eles contornem os controles de segurança e obtenham acesso a outros dispositivos na rede, aproveitando as permissões do usuário comprometido.

Os invasores têm usado o ScreenConnect para fins maliciosos há anos, incluindo roubo de dados e implantação de payloads de ransomware nos sistemas violados das vítimas.

Mais recentemente, a Huntress também detectou atores de ameaças usando instâncias locais do ScreenConnect para acesso persistente a redes hackeadas.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...