São Paulo — InkDesign News — Recentemente, a ConnectWise enfrentou um incidente de segurança significativo, onde um ator de ameaças, possivelmente ligado a um Estado nação, explorou uma vulnerabilidade crítica em seu sistema ScreenConnect.
Vetor de ataque
A vulnerabilidade em questão, identificada como CVE-2025-3935, é uma falha de autenticação inadequada no ScreenConnect, uma plataforma de gerenciamento e monitoramento remoto. Embora a ConnectWise tenha divulgado um patch para esta vulnerabilidade em 24 de abril, questionamentos continuam sobre a possibilidade de que o CVE tenha sido explorado antes da mitigação.
Impacto e resposta
A ConnectWise afirmou que a atividade maliciosa foi detectada em um número “muito pequeno” de clientes, mas não forneceu detalhes sobre a extensão dos danos. As atualizações mais recentes indicam que não foi observada atividade suspeita nas instâncias em nuvem desde a aplicação do patch. Um porta-voz da empresa declarou:
“Não observamos nenhuma atividade suspeita adicional nas instâncias em nuvem do ScreenConnect desde que o patch foi liberado em 24 de abril.”
(“We have not observed any additional suspicious activity in ScreenConnect cloud instances since the patch was released on April 24.”)— Porta-voz, ConnectWise
Enquanto isso, o CISA (Agência de Segurança Cibernética e Infraestrutura) adicionou o CVE-2025-3935 ao seu catálogo de vulnerabilidades conhecidas em exploração, o que levanta ainda mais questões sobre o tempo de exploração.
Análise e recomendações
Com a complexidade das informações disponíveis, especialistas em cibersegurança continuam a analisar o ocorrido. Satnam Narang, engenheiro de pesquisa sênior na Tenable, destacou que a falta de clareza sobre quando a atividade maliciosa foi descoberta gera confusão. Ele disse:
“A documentação de divulgação não fornece uma imagem clara do que aconteceu e do que foi corrigido.”
(“The disclosure materials don’t provide a clear picture of what happened and what was patched.”)— Satnam Narang, Engenheiro de Pesquisa Sênior, Tenable
Os profissionais recomendam que os usuários do ScreenConnect atualizem seus sistemas imediatamente e monitorem de perto atividades suspeitas, especialmente em ambientes on-premise. A transparência na comunicação sobre incidentes de segurança pode ser crucial para restaurar a confiança dos clientes e parceiros.
O setor aguarda novas atualizações sobre a investigação conduzida pela Mandiant, que pode esclarecer ainda mais o impacto e o vetor de ataque.
Fonte: (Dark Reading – Segurança Cibernética)
