A empresa de software de gestão de TI, ConnectWise, informou que um ciberataque suspeito de patrocínio estatal violou seu ambiente e impactou um número limitado de clientes do ScreenConnect.
"A ConnectWise recentemente tomou conhecimento de atividades suspeitas em nosso ambiente, que acreditamos estar ligadas a um sofisticado ator estatal, afetando um número muito pequeno de clientes do ScreenConnect," compartilhou a ConnectWise em um comunicado breve.
"Lançamos uma investigação com um dos principais especialistas em forense, a Mandiant. Entramos em contato com todos os clientes afetados e estamos coordenando com as autoridades policiais."
A ConnectWise é uma empresa de software baseada na Flórida que fornece soluções de gestão de TI, RMM (remote monitoring and management), cibersegurança e automação para provedores de serviços gerenciados (MSPs) e departamentos de TI.
Um de seus produtos é o ScreenConnect, uma ferramenta de acesso remoto e suporte que permite que técnicos se conectem de forma segura aos sistemas dos clientes para solução de problemas, aplicação de patches e manutenção do sistema.
Conforme reportado inicialmente pelo CRN, a empresa agora afirma que implementou monitoramento aprimorado e reforçou a segurança em toda a sua rede.
Também declararam que não observaram mais atividades suspeitas nas instâncias dos clientes.
A ConnectWise não respondeu às perguntas do do site BleepingComputer sobre quantos clientes foram impactados, quando ocorreu a violação ou se alguma atividade maliciosa foi observada nas instâncias do ScreenConnect dos clientes.
No entanto, uma fonte informou ao BleepingComputer que a violação ocorreu em agosto de 2024, com a ConnectWise descobrindo a atividade suspeita em maio de 2025, e que isso impactou apenas as instâncias baseadas em nuvem do ScreenConnect.
Jason Slagle, presidente do provedor de serviços gerenciados CNWR, disse ao BleepingComputer que apenas um número muito pequeno de clientes foi impactado, sugerindo que o ator da ameaça realizou um ataque direcionado contra organizações específicas.
Em um tópico no Reddit, clientes compartilharam mais detalhes, afirmando que o incidente está ligado a uma vulnerabilidade do ScreenConnect rastreada como
CVE-2025-3935
, corrigida em 24 de abril.
A falha
CVE-2025-3935
é um bug de injeção de código ViewState de alta severidade causado pela desserialização insegura do ViewState do ASP.NET nas versões do ScreenConnect 25.2.3 e anteriores.
Atores de ameaças com acesso privilegiado ao nível do sistema podem roubar as chaves secretas da máquina usadas por um servidor ScreenConnect e utilizá-las para criar payloads maliciosos que acionam a execução remota de código no servidor.
Embora a ConnectWise não tenha afirmado que essa vulnerabilidade foi explorada na época, ela foi marcada como uma prioridade "Alta", indicando que estava ou sendo ativamente explorada ou carregava um risco significativo de exploração.
A empresa também afirmou que a falha foi corrigida em suas plataformas ScreenConnect hospedadas em nuvem em "screenconnect.com" e "hostedrmm.com" antes de ser divulgada publicamente aos clientes.
Como a violação impactou apenas instâncias do ScreenConnect hospedadas em nuvem, é possível que os atores da ameaça tenham inicialmente violado os sistemas da ConnectWise e roubado as chaves da máquina.
Usando essas chaves, os atacantes poderiam realizar execução de código remoto nos servidores ScreenConnect da empresa e potencialmente acessar ambientes de clientes.
No entanto, deve-se notar que a ConnectWise não confirmou se esta foi a maneira como as instâncias dos clientes foram violadas.
Os clientes que falaram estão frustrados pela falta de indicadores de comprometimento (IOCs) e informações compartilhadas pela ConnectWise, deixando-os com poucas informações sobre o que aconteceu.
No ano passado, uma falha do ScreenConnect rastreada como CVE-2024-1709 foi explorada por gangues de ransomware e um grupo de hacking APT da Coreia do Norte para rodar malware.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...