A ConnectWise divulgou uma vulnerabilidade de alto impacto em sua plataforma Automate que pode permitir que atacantes burlassem verificações de segurança críticas e executassem código malicioso sob condições específicas. A falha, rastreada como CVE-2026-9089, afeta versões da ConnectWise Automate anteriores a 2026.5 e recebeu uma pontuação CVSS de 8.8, destacando sua potencial gravidade em ambientes de provedores de serviços gerenciados.
Descoberta e escopo da vulnerabilidade
De acordo com o advisory lançado em 21 de maio de 2026, a vulnerabilidade decorre da validação de integridade inadequada durante o carregamento de plug-ins do agente e mecanismos de autoatualização. Especificamente, componentes baixados durante esses processos podem ser executados sem passar por verificações de integridade completas.
Este comportamento alinha-se com o CWE-494, que se refere ao download de código sem verificação suficiente de autenticidade ou integridade. Na prática, essa fraqueza cria uma oportunidade para atacantes dentro da rede ou capazes de interceptar o tráfego para introduzir componentes adulterados ou maliciosos.
Mecanismo de exploração e impacto
Como a vulnerabilidade não requer interação do usuário e pode ser explorada com baixa complexidade de ataque, aumenta a probabilidade de execução de código não autorizada, potencialmente levando à comprometimento total do sistema. O vetor CVSS (AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) indica que confidencialidade, integridade e disponibilidade podem ser significativamente impactadas.
Uma exploração bem-sucedida poderia permitir movimento lateral, persistência e comprometimento em larga escala em ambientes de clientes gerenciados. Profissionais de segurança também devem revisar os logs de monitoramento de rede para qualquer atividade de plug-in anômala ou atualizações inesperadas do agente como medida preventiva.
Sistemas afetados e correção
Todas as implantações on-premises de versões da ConnectWise Automate anteriores a 2026.5 são afetadas por esta vulnerabilidade. A ConnectWise confirmou que as instâncias hospedadas na nuvem já foram atualizadas automaticamente, reduzindo a exposição para clientes que usam ambientes gerenciados.
Para mitigar o risco, organizações que executam instalações on-premise são fortemente aconselhadas a atualizar para a versão 2026.5, que introduz mecanismos de verificação de integridade aprimorados em todos os componentes do agente. Esta atualização garante que quaisquer módulos baixados ou carregados dinamicamente passem por validação estrita antes da execução.
Recomendações para provedores de serviços gerenciados
Do ponto de vista da inteligência de ameaças, essa falha é particularmente relevante em ecossistemas de MSP, onde a ConnectWise Automate é amplamente utilizada para monitoramento e gerenciamento remoto. A ConnectWise classificou a falha como "Importante" com uma classificação de gravidade moderada e recomendou remediação oportuna, embora nenhum ataque ativo tenha sido detectado.
Equipes de segurança são encorajadas a priorizar esta atualização dentro de 30 dias para reduzir a exposição potencial. A segurança de cadeias de suprimentos de software e mecanismos de atualização continuam sendo alvos frequentes para atacantes.
Medidas de mitigação imediata
1. Atualizar imediatamente para a versão 2026.5 em todas as instalações on-premises. 2. Revisar logs de atualização de agentes para detectar atividades incomuns. 3. Implementar segmentação de rede para limitar o acesso ao servidor Automate. 4. Monitorar tráfego de rede para conexões não autorizadas a endpoints de atualização. 5. Validar assinaturas de código em todos os componentes baixados.
Implicações para a cadeia de suprimentos
Este incidente sublinha a importância da validação de integridade robusta em sistemas automatizados. Em ambientes de MSP, um comprometimento pode ter efeitos em cascata sobre múltiplos clientes finais. A confiança na integridade dos componentes de gerenciamento remoto é fundamental para a segurança operacional.
Organizações devem revisar seus processos de aprovação de atualizações e garantir que apenas componentes assinados e verificados sejam executados. A transparência sobre vulnerabilidades e patches é essencial para manter a confiança do cliente.
O que os CISOs devem fazer agora
1. Verificar a versão atual da ConnectWise Automate em todos os ambientes. 2. Priorizar a atualização para 2026.5 dentro do prazo de 30 dias. 3. Revisar políticas de segurança para componentes de terceiros. 4. Implementar monitoramento contínuo de integridade de arquivos. 5. Comunicar riscos e ações aos clientes de MSP afetados.
Perguntas frequentes
A falha permite execução remota de código? Sim, sob condições específicas de baixa complexidade. Instalações na nuvem estão seguras? Sim, foram atualizadas automaticamente pela ConnectWise. Qual o prazo recomendado para correção? 30 dias para instalações on-premise.