ConnectWise, американска софтуерна компания за ИТ управление, обяви, че е станала жертва на усъвършенствана кибератака, вероятно извършена от държавно подкрепен извършител, която е засегнала ограничен брой клиенти, използващи облачната версия на решението ѝ за отдалечен достъп ScreenConnect.
В официално съобщение компанията потвърждава:
„Наскоро установихме подозрителна активност в нашата среда, която според нас е свързана със сложен кибератакуващ от държавно ниво. Засегнати са изключително малък брой клиенти на ScreenConnect.“
ScreenConnect е популярен инструмент за отдалечен достъп и поддръжка, използван от доставчици на управлявани услуги (MSP) и вътрешни ИТ екипи. Софтуерът позволява на техници да се свързват дистанционно с клиентски системи с цел диагностика, обновления и поддръжка.
ConnectWise, със седалище във Флорида, предлага решения за ИТ автоматизация, RMM (отдалечено наблюдение и управление) и киберсигурност. Компанията работи със стотици MSP организации по цял свят.
Според информация от вътрешни източници, пробивът е започнал още през август 2024 г., като е открит едва през май 2025 г. Атаката е засегнала само облачни инстанции на ScreenConnect, хоствани от ConnectWise.
За инцидента е уведомена разследващата компания Mandiant, която води разследването, и са информирани всички засегнати клиенти. Компанията е усилила мониторинга и е предприела мерки за укрепване на инфраструктурата си, като засега не се отчита нова подозрителна активност.
Според публикации в Reddit и независими анализатори, атаката вероятно е свързана с уязвимост, регистрирана като CVE-2025-3935 — ViewState code injection уязвимост, причинена от неконтролирана десериализация на ASP.NET ViewState в ScreenConnect версии 25.2.3 и по-стари.
Чрез тази уязвимост злонамерени актьори с администраторски достъп могат да откраднат машинните ключове, използвани от ScreenConnect сървърите. С тях могат да създадат зловреден код, който да изпълняват дистанционно (RCE) на компрометираните сървъри.
ConnectWise съобщава, че уязвимостта е отстранена на хостваните платформи (screenconnect.com и hostedrmm.com) още преди публичното ѝ разкриване, но не потвърждава дали тя действително е била използвана в атаката.
Някои клиенти изразиха разочарование от липсата на прозрачност, тъй като ConnectWise не е предоставила индикатори за компрометиране (IOCs) или допълнителна техническа информация, което затруднява оценката на риска от страна на засегнатите организации.
Джейсън Слейгъл, президент на MSP компанията CNWR, коментира, че според него атаката е силно таргетирана, като са компрометирани само избрани обекти.
През 2024 г. друга уязвимост в ScreenConnect, CVE-2024-1709, беше активно експлоатирана от рансъмуер групи и севернокорейски APT организации, което поставя под въпрос устойчивостта на продукта при целенасочени атаки.
Макар и ограничена по мащаб, атаката срещу ConnectWise показва нарастващия интерес на държавно подкрепени хакерски групи към софтуера за отдалечено управление – особено такъв, който се използва от MSP доставчици и служи като входна точка към ИТ инфраструктурата на множество клиенти.
За момента се препоръчва на всички потребители на ScreenConnect:
да се уверят, че използват най-новата версия;
да прегледат логовете за необичайна активност от август 2024 г. насам;
да следят за нови официални известия от ConnectWise и налични IOCs.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
