A ConnectWise, conhecida empresa de software de gestão de TI, revelou ter sido recentemente alvo de um ciberataque, que suspeita ter sido orquestrado por um "ator estatal sofisticado". O incidente afetou um número reduzido de clientes da sua popular ferramenta de acesso remoto, ScreenConnect.
Num comunicado divulgado no seu website, a empresa norte-americana informou que, após detetar "atividade suspeita" no seu ambiente, deu início a uma investigação exaustiva, contando com a colaboração de uma das principais firmas de peritagem forense, a Mandiant. A ConnectWise assegurou ainda ter contactado todos os clientes impactados e estar a coordenar esforços com as autoridades competentes. Como parte da resposta ao incidente, foram implementadas "medidas de monitorização e robustecimento" da segurança em toda a sua infraestrutura.
Detalhes escassos e incógnitas no ar
Apesar da confirmação do ataque, a ConnectWise não adiantou, para já, pormenores sobre a identidade do alegado ator estatal, nem sobre os métodos utilizados para infiltrar os sistemas do ScreenConnect. Desconhece-se também a duração da intrusão e quais os objetivos específicos dos atacantes.
A empresa limitou-se a referir que um "número muito pequeno" de clientes foi afetado, sem especificar o seu setor de atividade ou a quantidade exata. No entanto, a ConnectWise fez questão de sublinhar que não foi observada qualquer atividade suspeita adicional "em nenhuma instância de cliente" após as medidas de mitigação terem sido postas em prática. "A segurança dos nossos serviços é primordial para nós, e estamos a monitorizar de perto a situação, partilhando informações adicionais assim que possível", conclui o comunicado.
Contexto de vulnerabilidades anteriores
Neste contexto, o site The Hacker News recorda que a ConnectWise corrigiu, durante o ano de 2024, duas falhas de segurança significativas (identificadas como CVE-2024-1708 e CVE-2024-1709). Estas vulnerabilidades terão sido exploradas tanto por grupos de cibercrime como por atores estatais, incluindo alegadamente entidades da China, Coreia do Norte e Rússia.
Adicionalmente, a mesma fonte menciona a correção de uma outra vulnerabilidade de severidade elevada nas versões 25.2.3 e anteriores do ScreenConnect. Esta falha poderia ser explorada para ataques de injeção de código ViewState, utilizando chaves de máquina ASP.NET publicamente conhecidas. É importante salientar que a ConnectWise não estabeleceu, no seu comunicado recente, qualquer ligação direta entre estas vulnerabilidades passadas e o presente ciberataque.
O ScreenConnect é uma solução de suporte e acesso remoto amplamente utilizada por Fornecedores de Serviços Geridos (MSPs), equipas internas de TI e revendedores de tecnologia, o que o torna um alvo potencialmente atrativo para diversos tipos de ameaças cibernéticas.
Nenhum comentário
Seja o primeiro!