A CISA publicou um alerta sobre a exploração ativa de uma falha no ConnectWise ScreenConnect, que pode resultar em execução remota de código. A vulnerabilidade, rastreada como CVE-2025-3935, foi corrigida em abril. Segundo a ConnectWise, a falha está ligada ao mecanismo ViewState do ASP.NET, que pode ser explorado se um invasor tiver acesso às chaves da máquina.
Leia também
Publicação de detalhes eleva risco para falha do iOS XE
Servidor expõe instalações nucleares bélicas
Relatos sugerem que a vulnerabilidade pode ter sido usada em uma invasão recente ao ScreenConnect, atribuída a um grupo de hackers possivelmente patrocinado por um Estado. Apesar disso, a ConnectWise não confirmou a técnica usada nem detalhou o impacto do ataque, afirmando apenas que um número pequeno de clientes foi afetado.
Além disso, a CISA alertou sobre outras quatro falhas de segurança sendo exploradas ativamente. Duas delas afetam roteadores ASUS e duas estão no sistema de gerenciamento de conteúdo Craft CMS. As vulnerabilidades permitem desde a execução remota de código até injeção de comandos no sistema, algumas delas sem necessidade de autenticação.
Destaque para a falha CVE-2023-39780, usada em ataques recentes para montar uma botnet chamada AyySSHush. Os invasores exploram brechas em roteadores ASUS RT-AX55 combinando falhas com técnicas de desvio de autenticação que ainda não possuem CVE.
Todos os cinco problemas foram incluídos no Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA. A agência exige que órgãos federais apliquem os patches recomendados ou desativem os produtos afetados até 23 de junho.
