Quando uma nova vulnerabilidade é descoberta, as equipas de TI e de segurança precisam de agir rapidamente para se protegerem contra ela. Para os utilizadores do ConnectWise ScreenConnect, esse momento é agora, pois a vulnerabilidade CVE-2024-1708 está a ser explorada ativamente.
A CISA adicionou o CVE-2024-1708 ao seu catálogo de Vulnerabilidades Conhecidas Exploradas após evidências de exploração ativa. A vulnerabilidade tem uma pontuação CVSS de alta severidade de 8.4 e pode permitir a execução remota de código ou impactar diretamente dados confidenciais e sistemas críticos
Quando as plataformas de remote support estão vulneráveis a ataques, os danos podem estender-se a múltiplos endpoints, servidores e sistemas. Assim, as organizações devem saber o que fazer quando vulnerabilidades como esta são descobertas.
O que aconteceu com o ConnectWise ScreenConnect?
A Agência de Segurança Cibernética e de Infraestrutura (CISA) adicionou recentemente duas vulnerabilidades ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), incluindo CVE-2024-1708. Esta é uma vulnerabilidade de atravessamento de caminho que afeta o ConnectWise ScreenConnect 23.9.7 e anteriores. A vulnerabilidade pode permitir que atacantes executem código remoto ou impactem diretamente dados confidenciais e sistemas críticos, tornando-se um risco de alta gravidade com uma pontuação CVSS de 8.4.
ConnectWise lançou correções para a vulnerabilidade em fevereiro de 2024. No entanto, a atualização de KEV da CISA mostra que as instâncias não corrigidas continuam a ser uma preocupação de segurança atual.
CVE-2024-1708 também foi observado em atividades de exploração envolvendo CVE-2024-1709, uma vulnerabilidade crítica de bypass de autenticação do ScreenConnect com uma pontuação CVSS de 10,0. Juntas, estas vulnerabilidades reforçam por que os utilizadores de ScreenConnect devem confirmar o estado das atualizações e rever os seus ambientes para sinais de exposição.
Por que a exploração do ScreenConnect é importante para as equipas de TI
Qualquer vulnerabilidade de software é uma ameaça que vale a pena mitigar, especialmente aquelas com evidências de exploração ativa. E para o software de suporte remoto, o risco pode ser ainda mais grave do que parece à primeira vista.
As ferramentas de suporte remoto podem conectar técnicos a sistemas, oferecer acesso administrativo e gerir dispositivos tanto em modo assistido quanto não assistido em diferentes ambientes. Assim, eles são alvos de alto valor para atacantes, pois comprometer a ferramenta com sucesso pode fornecer acesso a múltiplos endpoints.
Considerando os danos que o comprometimento do suporte remoto pode causar, a exploração da vulnerabilidade do ScreenConnect serve como um forte lembrete da importância de garantir a segurança do software de suporte remoto. As equipas de TI precisam de manter as correções atualizadas, gerir a governação de acesso, habilitar o registo de auditorias e identificar rapidamente software exposto para que possam resolvê-lo, caso contrário podem colocar vários utilizadores e dispositivos em risco.
O que torna o CVE-2024-1708 especialmente importante?
Não faltam vulnerabilidades por aí, mas a sua gravidade pode variar significativamente. Com uma pontuação CVSS de 8,4, o CVE-2024-1708 classifica-se como uma vulnerabilidade de “Alta” severidade, mas o que é que a torna tão crítica?
Vários fatores tornam esta vulnerabilidade operacionalmente importante para as equipas de TI:
1. Afeta uma plataforma de Remote Support
Como mencionado, vulnerabilidades que afetam plataformas de remote support podem ter consequências de longo alcance, já que essas plataformas são usadas para gerir outros sistemas. Quando uma solução de assistência remota é comprometida, já está tipicamente implementada, confiável e ligada a fluxos de trabalho privilegiados, tornando fácil para os atacantes se espalharem pelos dispositivos conectados.
Uma ferramenta de suporte remoto exposta pode criar um ponto de entrada para operações de TI mais amplas, colocando redes inteiras em risco.
2. Está vinculado a uma falha crítica de autenticação
Uma vulnerabilidade por si só pode representar uma ameaça, mas quando combinada com outra vulnerabilidade ainda mais crítica, essa ameaça pode escalar exponencialmente. Neste caso, o CVE-2024-1708 foi encadeado com o CVE-2024-1709, uma vulnerabilidade crítica de bypass de autenticação com um ponto CVSS de 10,0.
Como resultado, a ameaça pode rapidamente aumentar de “Alta” para “Crítica” se as duas vulnerabilidades não forem resolvidas. As equipas de TI precisam avaliar vulnerabilidades no contexto, pois ataques combinados podem representar ameaças ainda maiores.
3. A exploração tem sido associada a atividades de ransomware
Várias explorações podem ter consequências diferentes, mas a vulnerabilidade CVE-2024-1708 tem sido associada a ataques de ransomware, tornando-se uma ameaça de alta prioridade. O ransomware pode bloquear redes ou sistemas inteiros até que o resgate seja pago, resultando em perdas significativas de dinheiro, produtividade e confiança dos clientes. Assim, uma vulnerabilidade explorada ativamente que pode levar a ataques de ransomware precisa ser uma alta prioridade.
4. Vulnerabilidades antigas podem continuar a ser de alta prioridade
Só porque uma vulnerabilidade é antiga, não significa que deixou de ser uma ameaça. O CVE-2024-1708 foi corrigido em fevereiro de 2024, mas ainda pode ser explorado ativamente se não for devidamente mitigado.
Muitas vezes, a gestão de vulnerabilidades concentra-se nas ameaças mais recentes e nas divulgações mais novas. No entanto, as ameaças antigas ainda existem, por isso as equipas de TI precisam de visibilidade sobre as vulnerabilidades antigas que podem existir nos seus servidores, endpoints ou infraestruturas, especialmente se ainda estiverem a ser exploradas.
O que as Equipas de TI que Usam ScreenConnect Devem Verificar
Se a sua empresa usa ConnectWise ScreenConnect, pode estar a perguntar-se o que fazer para garantir que não é uma vítima desta exploração. Compilámos uma lista útil de passos que pode seguir para proteger a sua rede e dispositivos:
Confirme se o ScreenConnect está implementado no seu ambiente: O primeiro passo deve ser identificar todas as instâncias na cloud, on-premise, self-hosted, e as instâncias legadas do ScreenConnect que pode estar a executar. Isso garantirá que você esteja a olhar para os dispositivos corretos e não perca nenhuma ocorrência.
Verifique a versão em execução em cada instância: Mesmo que esteja a usar o ScreenConnect, pode ser uma versão que não está em risco. Verifique e confirme se algum dispositivo ScreenConnect está a correr uma versão afetada pelo CVE-2024-1708 (ou quaisquer vulnerabilidades relacionadas com ScreenConnect).
Verificar o estado das atualizações: Se os seus dispositivos estiverem devidamente atualizados, pode já estar seguro. O seu próximo passo deve ser verificar o estado das atualizações e confirmar que foram aplicadas com sucesso (não apenas agendadas ou consideradas concluídas).
Rever exposição na internet: Determine se alguma instância do ScreenConnect, servidor ou interface de gestão é acessível externamente. Se for, confirme que o acesso está restrito, atualizado, monitorizado e limitado a administradores autorizados.
Revisão de utilizadores admin e permissões: Contas antigas que mantêm permissões de acesso podem ser uma grande vulnerabilidade de cibersegurança. Certifique-se de verificar contas de administrador desnecessárias, utilizadores obsoletos, privilégios excessivos e quaisquer contas sem Autenticação Multi-Fator (MFA) que possam ser comprometidas.
Inspecionar registos para atividades suspeitas: Inspecionar os registos pode ajudar a identificar se alguma conta já está comprometida. Procure por sessões inesperadas, utilizadores desconhecidos, alterações de configuração, novas contas ou quaisquer padrões de acesso anormais que possam indicar um agente malicioso.
Avaliar o impacto a jusante: Identificar o impacto potencial de um ataque também é importante, especialmente se gere múltiplos dispositivos. MSPs e equipas de TI que suportam múltiplos ambientes devem verificar se os endpoints dos clientes ou geridos podem ser afetados e tomar medidas para os proteger.
Passos para correção de documentos: Manter documentação clara é essencial. Registe o que foi verificado, atualizado e revisto, e mantenha evidências para auditorias ou resposta a incidentes.
O que isto significa para a segurança do Remote Support
Se quer evitar o CVE-2024-1708 e outras ameaças semelhantes, é essencial ter uma boa segurança para o seu software de remote support. Com fortes recursos de segurança e gestão de endpoints, pode melhorar as suas defesas contra vulnerabilidades e ataques, mas isso requer estratégia e planeamento.
Uma estratégia segura de suporte remoto deve considerar:
Velocidade de aplicação de patches e confiabilidade de atualizações, de preferência incluindo automação de patches.
Visibilidade centralizada dos dispositivos e do software instalado neles.
Autenticação forte, incluindo MFA e Single Sign-On (SSO) quando apropriado.
Permissões granulares para técnicos e controles de acesso baseados em função (RBAC) para controlar quem tem acesso a quê.
Registo de sessões e trilhos de auditoria para manter a responsabilidade e identificar atividades suspeitas.
Controlo de acesso seguro sem supervisão.
Visibilidade clara sobre quais dispositivos podem ser acedidos remotamente.
Fluxos de trabalho de resposta rápida para o caso de uma vulnerabilidade afetar a infraestrutura de assistência remota.
Integração entre suporte remoto, visibilidade dos dispositivos e remediação de correções para melhorar os fluxos de trabalho e manter tudo num só lugar.
Perguntas a Fazer ao Avaliar Ferramentas de Suporte Remoto
O suporte remoto seguro requer uma solução com controlos de acesso fortes, visibilidade clara, patching fiável e registos prontos para auditoria. Embora existam muitas ferramentas de suporte remoto no mercado, é importante avaliar as suas opções e determinar quais atendem a todas as suas necessidades.
Ao analisar software de suporte remoto, considere o seguinte:
Os administradores podem impor MFA, SSO e permissões de acesso granulares?
O acesso do técnico pode ser limitado? Se sim, é limitado por utilizador, grupo, dispositivo ou função?
Estão os registos de sessão disponíveis para revisão e auditoria?
Será que o acesso não supervisionado pode ser controlado e limitado a utilizadores autorizados?
Com que rapidez podem as atualizações de segurança ser testadas, implementadas e verificadas?
As equipas de TI conseguem identificar software desatualizado no seu ambiente?
A plataforma suporta visibilidade em endpoints distribuídos, híbridos e remotos?
As equipas de TI podem gerir os fluxos de trabalho de correção e remediação sem precisar de fazer acompanhamento manualmente?
A solução combina suporte remoto com capacidades de gestão de endpoints?
Como a Splashtop Ajuda as Equipas de TI a Reforçar a Segurança do Suporte Remoto
Se quiser dar poder às suas equipas de TI para apoiar utilizadores e dispositivos em todo um ambiente distribuído, precisa de uma solução robusta e segura de suporte remoto e gestão de endpoints. Felizmente, a Splashtop pode providenciar exatamente isso.
A Splashtop oferece às equipas de TI o acesso remoto seguro e o suporte de que precisam para gerir dispositivos remotos de qualquer lugar, com controlos centralizados concebidos para ambientes de trabalho remoto e híbrido distribuído. Com ela, as equipas podem gerir utilizadores, dispositivos e permissões a partir de um único local, aceder remotamente a dispositivos para resolução de problemas prática e manter a visibilidade necessária para apoiar ambientes remotos.
Com o Splashtop AEM (Gestão de Endpoints Autónomos), as equipas de TI podem dar suporte a dispositivos em toda a sua rede com deteção automática de ameaças, gestão de patches, e muito mais. Splashtop AEM oferece patching em tempo real, insights baseados em CVE, automação baseada em políticas e visibilidade em todos os terminais, tudo a partir de um único painel de controlo amigável ao utilizador. Isto ajuda as equipas de TI a passarem de reativas a proativas, melhorando a segurança em todos os dispositivos.
Splashtop inclui:
Acesso remoto seguro e suporte remoto através de sistemas operativos e dispositivos.
Controlo administrativo centralizado e permissões granulares para tornar a gestão fácil e eficiente.
Opções de SSO/SAML, MFA, registo e gravação para manter cada sessão segura.
Splashtop AEM para gestão de patches em tempo real em sistemas operativos e aplicações de terceiros.
Inventário e relatórios de endpoint para ajudar a identificar software vulnerável num piscar de olhos.
Deteção de ameaças baseada em CVE e insights para apoiar a priorização de patches.
Ações de 1 para muitos e automação para reduzir o trabalho manual repetitivo.
Painéis de controlo centralizados que oferecem visibilidade do estado das atualizações, saúde dos endpoints e prontidão para auditoria.
Mantenha-se à Frente das Vulnerabilidades
A vulnerabilidade no ConnectWise ScreenConnect é um lembrete claro sobre a necessidade de segurança robusta para plataformas de suporte remoto. Estas são infraestruturas de TI críticas e devem ser tratadas como tal, com controlos de acesso fortes, patching fiável e visibilidade clara dos endpoints.
O suporte remoto é uma excelente forma de ajudar os utilizadores e resolver problemas nos dispositivos a partir de qualquer lugar, mas o nível de acesso que proporciona pode tornar-se uma ameaça sem uma solução segura e atualizada. As equipas de TI devem dedicar algum tempo para verificar se estão expostas, confirmar os seus estados de correção, e avaliar se as suas ferramentas de suporte remoto oferecem a segurança e o controlo necessários.
Se a sua ferramenta de suporte remoto atual não oferecer a visibilidade, controle de acesso e fluxos de trabalho de gestão de endpoints que a sua equipa precisa, pode ser hora de avaliar uma abordagem mais segura e simplificada.
Veja como a Splashtop ajuda as equipas de TI a oferecer suporte remoto seguro e gestão de endpoints a partir de uma única plataforma. Comece a sua avaliação gratuita hoje.
