ConnectWise, американска софтуерна компания за ИТ управление, обяви, че е станала жертва на усъвършенствана кибератака, вероятно извършена от държавно подкрепен извършител, която е засегнала ограничен брой клиенти, използващи облачната версия на решението ѝ за отдалечен достъп ScreenConnect.

В официално съобщение компанията потвърждава:

„Наскоро установихме подозрителна активност в нашата среда, която според нас е свързана със сложен кибератакуващ от държавно ниво. Засегнати са изключително малък брой клиенти на ScreenConnect.“

Какво представлява ScreenConnect?

ScreenConnect е популярен инструмент за отдалечен достъп и поддръжка, използван от доставчици на управлявани услуги (MSP) и вътрешни ИТ екипи. Софтуерът позволява на техници да се свързват дистанционно с клиентски системи с цел диагностика, обновления и поддръжка.

ConnectWise, със седалище във Флорида, предлага решения за ИТ автоматизация, RMM (отдалечено наблюдение и управление) и киберсигурност. Компанията работи със стотици MSP организации по цял свят.

Атаката – какво знаем до момента

Според информация от вътрешни източници,  пробивът е започнал още през август 2024 г., като е открит едва през май 2025 г. Атаката е засегнала само облачни инстанции на ScreenConnect, хоствани от ConnectWise.

За инцидента е уведомена разследващата компания Mandiant, която води разследването, и са информирани всички засегнати клиенти. Компанията е усилила мониторинга и е предприела мерки за укрепване на инфраструктурата си, като засега не се отчита нова подозрителна активност.

Свързана ли е уязвимостта CVE-2025-3935?

Според публикации в Reddit и независими анализатори, атаката вероятно е свързана с уязвимост, регистрирана като CVE-2025-3935 — ViewState code injection уязвимост, причинена от неконтролирана десериализация на ASP.NET ViewState в ScreenConnect версии 25.2.3 и по-стари.

Чрез тази уязвимост злонамерени актьори с администраторски достъп могат да откраднат машинните ключове, използвани от ScreenConnect сървърите. С тях могат да създадат зловреден код, който да изпълняват дистанционно (RCE) на компрометираните сървъри.

ConnectWise съобщава, че уязвимостта е отстранена на хостваните платформи (screenconnect.com и hostedrmm.com) още преди публичното ѝ разкриване, но не потвърждава дали тя действително е била използвана в атаката.

Реакция от страна на общността

Някои клиенти изразиха разочарование от липсата на прозрачност, тъй като ConnectWise не е предоставила индикатори за компрометиране (IOCs) или допълнителна техническа информация, което затруднява оценката на риска от страна на засегнатите организации.

Джейсън Слейгъл, президент на MSP компанията CNWR, коментира, че според него атаката е силно таргетирана, като са компрометирани само избрани обекти.

Предишни инциденти със ScreenConnect

През 2024 г. друга уязвимост в ScreenConnect, CVE-2024-1709, беше активно експлоатирана от рансъмуер групи и севернокорейски APT организации, което поставя под въпрос устойчивостта на продукта при целенасочени атаки.

Извод

Макар и ограничена по мащаб, атаката срещу ConnectWise показва нарастващия интерес на държавно подкрепени хакерски групи към софтуера за отдалечено управление – особено такъв, който се използва от MSP доставчици и служи като входна точка към ИТ инфраструктурата на множество клиенти.

За момента се препоръчва на всички потребители на ScreenConnect:

• да се уверят, че използват най-новата версия;

• да прегледат логовете за необичайна активност от август 2024 г. насам;

• да следят за нови официални известия от ConnectWise и налични IOCs.