ConnectWise предупреждава за реална заплаха от неоторизиран контрол върху системи на MSP и IT екипи

Компанията ConnectWise алармира за критична уязвимост в платформата за отдалечен достъп ScreenConnect, която може да позволи неоторизиран достъп и ескалация на привилегии чрез компрометиране на криптографски механизми.

Какво представлява уязвимостта

Уязвимостта е регистрирана като:

• CVE-2026-3564

Тя засяга всички версии на ScreenConnect преди 26.1 и има критична степен на риск.

Проблемът е свързан с:

• верификация на криптографски подписи

• управление на ASP.NET machine keys

При компрометиране на тези ключове нападател може да генерира валидни сесии и да се представя за легитимен потребител.

Механизъм на атаката

Атакуващият може да:

1. Извлече или получи достъп до machine key материал

2. Генерира или модифицира защитени стойности

3. Заобиколи механизми за автентикация

4. Получи пълен достъп до ScreenConnect средата

Резултатът:

• Неоторизирани сесии

• Изпълнение на действия от името на администратор

• Потенциален достъп до клиентски системи

Защо това е особено опасно

ScreenConnect се използва широко от:

• MSP доставчици (Managed Service Providers)

• IT отдели

• Поддръжка на корпоративни системи

Това означава, че един компрометиран ScreenConnect сървър може да отвори достъп до множество организации едновременно.

Реален риск – индикации за злоупотреби

От ConnectWise съобщават:

• Наблюдавани са опити за злоупотреба с изтекли machine keys

• Към момента няма потвърдени IoC за тази конкретна уязвимост

• Съществуват твърдения за дългогодишна експлоатация от държавно подкрепени ATP

Контекстът е важен:

Подобна уязвимост (CVE-2025-3935) вече е била използвана за кражба на криптографски ключове.

Какво е коригирано

Версия 26.1 на ScreenConnect въвежда:

• Криптирано съхранение на machine keys

• Подобрено управление на чувствителни данни

• Засилени механизми за защита на сесиите

Cloud клиентите са автоматично защитени чрез обновяване.

On-premise инсталациите обаче остават високорискови без ръчен ъпдейт.

Препоръчани мерки

Незабавни действия

• Ъпгрейд до ScreenConnect 26.1

• Ротация на всички machine keys и секрети

• Проверка за подозрителни сесии

Допълнителни защити

• Ограничаване на достъпа до конфигурационни файлове

• Защита на бекъпи и архиви

• Актуализация на всички разширения

• Лог анализ за аномалии

Анализ – новата реалност при remote access платформите

Този случай подчертава няколко критични тенденции:

• Remote access инструментите са високоприоритетна цел

• Криптографските ключове се превръщат в основен вектор за атака

• MSP екосистемата е особено уязвима към supply chain атаки

Най-важният извод – компрометираните идентификационни механизми са по-опасни от класически експлойти.

Заключение – доверието в сесиите вече не е даденост

Уязвимостта в ScreenConnect показва ясно – ако криптографските основи бъдат компрометирани, цялата система губи доверие.

В контекста на масовата употреба на подобни платформи:

• рискът е системен

• въздействието – мултиплициращо се

• защитата – критично зависима от бърза реакция