# CVE-2024-1709 - ConnectWise ScreenConnect Authentication Bypass (CVSS 10.0) > [!danger] CVSS: 10.0 (Crítico) · EPSS: ~97% · Vendor: ConnectWise · CISA KEV: Sim · Exploração massiva ativa ## Visão Geral {Conteúdo a ser adicionado.} ## Resumo Técnico ```mermaid graph TB A["🔍 CVE-2024-1709 · CVSS 10.0<br/>ScreenConnect Auth Bypass"] --> B["🎯 Localizar Instância<br/>ScreenConnect exposta<br/>Shodan/OSINT"] B --> C["💥 Manipulação de URL<br/>/SetupWizard.aspx/any-path<br/>wizard reativado sem auth"] C --> D["🔧 Criar Conta Admin<br/>Acesso total à interface<br/>upload de extensão maliciosa"] D --> E["🔧 Comprometer Endpoints<br/>Acesso a todos os clientes<br/>via ScreenConnect"] E --> F["💀 Deploy Ransomware<br/>Distribuição em massa<br/>via MSP comprometido"] classDef critical fill:#c92a2a,stroke:#c92a2a,color:#fff classDef exploit fill:#e67700,stroke:#e67700,color:#fff classDef postexploit fill:#495057,stroke:#343a40,color:#fff classDef impact fill:#1864ab,stroke:#1864ab,color:#fff class A critical class B,C exploit class D,E postexploit class F impact ``` **CVE-2024-1709** é uma vulnerabilidade crítica de **bypass de autenticação** (CWE-288) no **[[ConnectWise ScreenConnect]]**, software de acesso remoto amplamente utilizado em ambientes corporativos e de suporte técnico. A falha explora o tratamento de URLs pelo .NET para reativar o assistente de configuração (`/SetupWizard.aspx`) em instâncias já configuradas, permitindo que qualquer atacante remoto não autenticado crie uma conta de administrador. A vulnerabilidade é descrita por pesquisadores de segurança como "catastrófica" - trivial de explorar, sem autenticação, com impacto máximo. **Pontuação de risco:** - CVSS v3.1: **10.0** (Crítico) - pontuação máxima - EPSS: **~97%** de probabilidade de exploração - CISA KEV: **adicionado em 2024-02-21** - Módulo Metasploit: **disponível** - PoC: **amplamente disponível** > [!danger] Esta CVE foi frequentemente encadeada com **[[cve-2024-1708|CVE-2024-1708]]** (path traversal) para upload de webshells e execução remota de código completa. ## Exploração A falha se baseia na lógica de verificação de "setup completo" do ScreenConnect: ao acessar `/SetupWizard.aspx/qualquer-string` (com qualquer subpath adicionado), o .NET não reconhece a rota como o endpoint protegido, permitindo que o wizard de setup seja exibido mesmo em instalações já configuradas. **Cadeia de exploração típica:** 1. Atacante acessa `https://<target>/SetupWizard.aspx/any-path` 2. O wizard de setup é apresentado (reativado pela manipulação de URL) 3. Atacante cria conta de administrador no sistema 4. Com credenciais admin, faz upload de webshell via funcionalidade de extensão 5. Executa comandos no sistema operacional do servidor ScreenConnect **Indicadores de comprometimento observados:** - PowerShell scripts executados via ScreenConnect (MD5: `b5738d393d52e6d7d4f79a82bcf971a0`) - Binário `SentinelUI.exe` com DLL sideloading - Agendamento de tarefas para persistência **Escala da exploração:** Unit 42 da Palo Alto Networks documentou exploração massiva por múltiplos grupos logo após a divulgação, incluindo atores estado-nação e grupos de ransomware. ## Impacto - **Criação de conta de administrador:** controle total da interface de gerenciamento do ScreenConnect - **Acesso a todos os endpoints remotos:** o ScreenConnect é usado para gerenciar centenas ou milhares de máquinas - comprometimento do servidor implica acesso a toda a base de clientes/endpoints gerenciados - **Execução de código remoto:** via upload de extensão ou comandos diretos ao host conectado - **Movimento lateral massivo:** atores utilizaram o acesso para distribuir ransomware a todos os endpoints gerenciados simultaneamente **Impacto LATAM/Brasil:** ScreenConnect é amplamente usado por MSPs (Managed Service Providers) brasileiros. O comprometimento de um único servidor pode afetar dezenas ou centenas de empresas clientes simultâneamente - cenário de ataque supply-chain via MSP. ## Indicadores de Comprometimento > [!ioc]- IOCs - CVE-2024-1709 ScreenConnect Authentication Bypass (TLP:GREEN) > Fonte: Unit 42 Palo Alto Networks, fevereiro 2024. > > **Hashes MD5** > - `b5738d393d52e6d7d4f79a82bcf971a0` - PowerShell script executado via ScreenConnect após exploração > > **Behavioral IoCs** > - Binario `SentinelUI.exe` com DLL sideloading (evasão de EDR) > - Tarefas agendadas criadas para persistência após acesso via ScreenConnect comprometido > - Contas de administrador desconhecidas criadas na interface do ScreenConnect > - Acesso ao endpoint `/SetupWizard.aspx` a partir de IPs externos (setup wizard reativado) > - Upload de extensao maliciosa via interface admin do ScreenConnect ## Mitigação **Atualização imediata:** - **ConnectWise ScreenConnect 23.9.8** ou superior - Instâncias cloud gerenciadas pela ConnectWise foram corrigidas automaticamente **Verificação de comprometimento:** - Revisar todos os usuários administradores criados - qualquer conta admin desconhecida indica comprometimento - Inspecionar extensões instaladas no ScreenConnect - Verificar tarefas agendadas e serviços instalados no servidor - Analisar logs de acesso à interface de gerenciamento **Mitigações temporárias:** - Se patch não puder ser aplicado imediatamente, **desconectar o servidor ScreenConnect da internet** - Restringir acesso à interface de gerenciamento por IP ## Notas Relacionadas **CVE relacionado (mesmo produto):** [[cve-2024-1708|CVE-2024-1708]] - Path Traversal no ScreenConnect **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] · [[t1505-server-software-component|T1505 - Server Software Component]] · [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] **Setores em risco:** [[financial]] · [[healthcare|saúde]] · [[retail]] · [[government]] **Contexto:** Frequentemente usado por grupos de ransomware para distribuição em massa via MSPs comprometidos