cve-2024-1708 - RunkIntel

# CVE-2024-1708 > [!high] Path Traversal no ConnectWise ScreenConnect - Combinado com Authentication Bypass > Vulnerabilidade de path traversal no ConnectWise ScreenConnect permite execução de código remoto quando encadeada com [[cve-2024-1709|CVE-2024-1709]] (authentication bypass, CVSS 10.0). A dupla de exploits foi usada massivamente por grupos de ransomware e atores de espionagem nas semanas seguintes à divulgação, comprometendo milhares de instalações MSP. ## Visão Geral [[cve-2024-1708|CVE-2024-1708]] é uma vulnerabilidade de path traversal no ConnectWise ScreenConnect que, quando encadeada com [[cve-2024-1709|CVE-2024-1709]] (authentication bypass CVSS 10.0), resulta em execução remota de código completa sem autenticação. O ScreenConnect é amplamente utilizado por Managed Service Providers (MSPs) e empresas de TI para suporte remoto - um alvo de altíssimo valor estratégico, pois seu comprometimento oferece acesso a todos os clientes gerenciados pelo MSP. As duas vulnerabilidades juntas foram chamadas de "ScreenConnect CVEs" e foram submetidas a exploração em massa poucos dias após a divulgação pública em fevereiro de 2024. Grupos de ransomware como Black Basta e LockBit, além de atores de espionagem, exploraram as falhas para comprometer MSPs e, através deles, seus clientes corporativos downstream - um ataque de supply chain clássico via ferramentas de gerenciamento remoto. No Brasil, MSPs e empresas de outsourcing de TI que utilizam ConnectWise ScreenConnect são vetores críticos: o comprometimento de um único MSP pode afetar dezenas ou centenas de pequenas e médias empresas clientes simultaneamente. > [!latam] Relevância LATAM > MSPs brasileiros e empresas de outsourcing de TI que utilizam ConnectWise ScreenConnect devem verificar urgentemente a versão instalada. O comprometimento de um MSP via estas CVEs é um cenário de alto impacto que pode afetar toda a cadeia de clientes gerenciados. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Path Traversal (CWE-22) | | Componente | ConnectWise ScreenConnect | | Encadeamento | CVE-2024-1709 (auth bypass) + CVE-2024-1708 (path traversal) = RCE | | Impacto combinado | RCE sem autenticação, acesso a todos os clientes gerenciados | | Exploração massiva | Sim - dias após divulgação | ## Attack Flow ```mermaid graph TB A["🌐 ScreenConnect exposto Porta 8040 internet"] --> B["⚡ CVE-2024-1709 Authentication bypass CVSS 10"] B --> C["📁 CVE-2024-1708 Path traversal + upload"] C --> D["💻 RCE no servidor Contexto ScreenConnect"] D --> E["🔄 Acesso a todos clientes Sessões ScreenConnect MSP"] E --> F["💥 Ransomware Em toda base de clientes"] ``` ## TTPs Associadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração do ScreenConnect exposto - [[t1021-001-remote-desktop-protocol|T1021.001]] - Abuso de acesso remoto via ScreenConnect comprometido - [[t1080-taint-shared-content|T1080]] - Comprometimento de conteúdo compartilhado MSP - [[t1486-data-encrypted-for-impact|T1486]] - Ransomware em clientes downstream ## Detecção e Defesa **Mitigação crítica:** Atualizar ConnectWise ScreenConnect para versão 23.9.8 ou superior imediatamente. **Verificação de comprometimento:** - Auditar logs de acesso ScreenConnect para logins anômalos pré-patch - Verificar arquivos suspeitos no diretório de instalação do ScreenConnect - Revisar sessões ativas e históricas para acesso não autorizado **Mitigações estruturais:** - [[m1030-network-segmentation|M1030]] - Não expor ScreenConnect diretamente à internet - [[m1032-multi-factor-authentication|M1032]] - MFA obrigatório para acesso ScreenConnect - [[m1051-update-software|M1051]] - Manter ScreenConnect sempre atualizado ## Referências - [ConnectWise Security Advisory](https://www.connectwise.com/company/trust/security-bulletins) - [Huntress - ScreenConnect mass exploitation](https://www.huntress.com/blog) - [CISA Alert - ConnectWise ScreenConnect](https://www.cisa.gov/news-events/cybersecurity-advisories)