A CISA está alertando as agências federais dos EUA sobre hackers que estão explorando uma vulnerabilidade do ScreenConnect recentemente corrigida, que poderia levar à execução de código remoto no servidor.
A agência está avisando que quatro outros problemas de segurança afetando roteadores da ASUS e o sistema de gerenciamento de conteúdo Craft (CMS) também estão sendo ativamente explorados.
Em 24 de abril, a ConnectWise abordou a questão de segurança, rastreada como
CVE-2025-3935
, declarando que a vulnerabilidade poderia ser explorada para um ataque de injeção de código ViewState.
O fornecedor observa que os ASP.NET Web Forms dependem do componente ViewState para preservar o estado da página e o controle usando dados codificados em base64 que são protegidos por chaves de máquina.
Se um invasor com acesso privilegiado comprometer as chaves de máquina, ele poderá disparar a execução de código remoto no servidor por meio de cargas maliciosas.
Após a recente violação da ConnectWise, suspeita de ser uma operação patrocinada pelo estado, alguns clientes disseram que o incidente pode estar ligado ao
CVE-2025-3935
.
No entanto, a ConnectWise não comentou sobre o método de ataque ou a natureza do comprometimento.
Múltiplos relatórios afirmam que a ConnectWise encontrou "um número muito pequeno de clientes do ScreenConnect" afetados.
Em um alerta desta semana, a CISA também adverte sobre atores de ameaças que exploram quatro vulnerabilidades, duas delas críticas, em roteadores ASUS e Craft CMS:
-
CVE-2021-32030
(pontuação de gravidade crítica 9.8): permite a bypass de autenticação em dispositivos ASUS GT-AC2900 e Lyra Mini;
-
CVE-2023-39780
(pontuação de gravidade alta 8.8): injeção de OS em dispositivos ASUS RT-AX55, autenticação necessária;
-
CVE-2024-56145
(pontuação de gravidade crítica 9.3): injeção de código em Craft CMS que pode levar à execução de código remoto sob certas condições;
-
CVE-2025-35939
(pontuação de gravidade média 6.9): um cliente não autenticado poderia introduzir código PHP em locais de arquivo conhecidos no servidor Craft CMS.
A falha afetando dispositivos ASUS RT-AX55 foi explorada nos últimos meses em ataques furtivos provenientes do que parece ser “um adversário altamente capaz e bem equipado”.
Em um relatório da semana passada, a plataforma de cibersegurança GreyNoise diz que hackers encadearam a vulnerabilidade
CVE-2023-39780
com técnicas de bypass de autenticação que não têm um CVE atribuído para formar um botnet chamado AyySSHush.
A CISA adicionou os cinco problemas de segurança ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) e espera que as agências federais implementem as mitigações recomendadas pelo fornecedor ou deixem de usar os produtos afetados até 23 de junho.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...