A CISA está alertando as agências federais dos EUA sobre hackers que estão explorando uma vulnerabilidade do ScreenConnect recentemente corrigida, que poderia levar à execução de código remoto no servidor.
A agência está avisando que quatro outros problemas de segurança afetando roteadores da ASUS e o sistema de gerenciamento de conteúdo Craft (CMS) também estão sendo ativamente explorados.
Em 24 de abril, a ConnectWise abordou a questão de segurança, rastreada como
CVE-2025-3935
, declarando que a vulnerabilidade poderia ser explorada para um ataque de injeção de código ViewState.
O fornecedor observa que os ASP.NET Web Forms dependem do componente ViewState para preservar o estado da página e o controle usando dados codificados em base64 que são protegidos por chaves de máquina.
Se um invasor com acesso privilegiado comprometer as chaves de máquina, ele poderá disparar a execução de código remoto no servidor por meio de cargas maliciosas.
Após a recente violação da ConnectWise, suspeita de ser uma operação patrocinada pelo estado, alguns clientes disseram que o incidente pode estar ligado ao
CVE-2025-3935
.
No entanto, a ConnectWise não comentou sobre o método de ataque ou a natureza do comprometimento.
Múltiplos relatórios afirmam que a ConnectWise encontrou "um número muito pequeno de clientes do ScreenConnect" afetados.
Em um alerta desta semana, a CISA também adverte sobre atores de ameaças que exploram quatro vulnerabilidades, duas delas críticas, em roteadores ASUS e Craft CMS:
-
CVE-2021-32030
(pontuação de gravidade crítica 9.8): permite a bypass de autenticação em dispositivos ASUS GT-AC2900 e Lyra Mini;
-
CVE-2023-39780
(pontuação de gravidade alta 8.8): injeção de OS em dispositivos ASUS RT-AX55, autenticação necessária;
-
CVE-2024-56145
(pontuação de gravidade crítica 9.3): injeção de código em Craft CMS que pode levar à execução de código remoto sob certas condições;
-
CVE-2025-35939
(pontuação de gravidade média 6.9): um cliente não autenticado poderia introduzir código PHP em locais de arquivo conhecidos no servidor Craft CMS.
A falha afetando dispositivos ASUS RT-AX55 foi explorada nos últimos meses em ataques furtivos provenientes do que parece ser “um adversário altamente capaz e bem equipado”.
Em um relatório da semana passada, a plataforma de cibersegurança GreyNoise diz que hackers encadearam a vulnerabilidade
CVE-2023-39780
com técnicas de bypass de autenticação que não têm um CVE atribuído para formar um botnet chamado AyySSHush.
A CISA adicionou os cinco problemas de segurança ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) e espera que as agências federais implementem as mitigações recomendadas pelo fornecedor ou deixem de usar os produtos afetados até 23 de junho.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...