Критическая уязвимость ScreenConnect уязвила клиентов ConnectWise

Критическая уязвимость ScreenConnect уязвила клиентов ConnectWise

Источник: www.secureblink.com

Кибератака на ConnectWise: использование критической уязвимости в ScreenConnect вызывает тревогу в мире MSP

Компания ConnectWise раскрыла серьезный инцидент кибербезопасности, связанный с предполагаемым государственным субъектом, который использовал уязвимость CVE-2025-3935 в программном обеспечении удаленного доступа ScreenConnect. Этот инцидент затронул ограниченное число клиентов, размещённых в облаке, и вызвал значительный резонанс в сообществе поставщиков управляемых услуг (Managed Service Providers, MSP).

Суть уязвимости CVE-2025-3935

Уязвимость касается ошибки при внедрении кода ViewState, вызванной небезопасной десериализацией в платформе ASP.NET. Особенно уязвимы версии ScreenConnect 25.2.3 и более ранние. Эта критическая ошибка получила рейтинг «High» из-за возможности активного использования злоумышленниками.

Используя данную уязвимость, атакующие с привилегированным доступом на системном уровне могут:

  • украсть секретные машинные ключи;
  • выполнить удалённый код на уязвимых серверах;
  • получить доступ к облачным средам клиентов.

Хронология и действия ConnectWise

Исходя из данных расследования, первоначальное нарушение могло произойти уже в августе 2024 года. Однако подозрительная активность была выявлена компанией только в мае 2025 года.

После обнаружения инцидента ConnectWise привлекла экспертов из компании Mandiant для проведения всестороннего расследования и работает в координации с правоохранительными органами. Однако точные данные о числе затронутых клиентов, продолжительности взлома и подтверждённых вредоносных действиях не раскрываются.

_По некоторым обсуждениям среди пострадавших клиентов, атака, вероятно, началась с компрометации внутренней сети ConnectWise_, — отмечают специалисты.

Механизм атаки и последствия

Основным результатом атаки стало хищение секретных машинных ключей, которые позволили злоумышленникам:

  • получить несанкционированный доступ к серверам;
  • возможное подключение к средам клиентов облачных сервисов.

В ответ на инцидент ConnectWise заявила, что после введённых мер по сдерживанию угроз и обновления протоколов безопасности подозрительная активность более не наблюдается.

Предыстория и рекомендации

Данный инцидент следует за другим крупным нарушением — уязвимостью CVE-2024-1709 в ScreenConnect, которая уже использовалась группами программ-вымогателей и государственно спонсируемыми хакерами.

Эксперты рекомендуют пострадавшим организациям:

  • незамедлительно заменить учетные данные;
  • провести тщательный аудит систем на признаки несанкционированного доступа;
  • усилить меры реагирования на инциденты в кибербезопасности.

Перспективы и дальнейшие шаги

ConnectWise продолжает расследование и обещает своевременно публиковать обновления по мере появления новой информации. Этот случай подчёркивает острую необходимость быстрого реагирования и строгих мер безопасности в условиях постоянных атак хакеров на ИТ-платформы управления.

В эпоху, когда киберугрозы становятся всё более изощрёнными, этот инцидент служит напоминанием для всего IT-сообщества о важности своевременного патчинга уязвимостей и слаженного взаимодействия с экспертами в области кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: