Критическая уязвимость ScreenConnect уязвила клиентов ConnectWise

Источник: www.secureblink.com
Кибератака на ConnectWise: использование критической уязвимости в ScreenConnect вызывает тревогу в мире MSP
Компания ConnectWise раскрыла серьезный инцидент кибербезопасности, связанный с предполагаемым государственным субъектом, который использовал уязвимость CVE-2025-3935 в программном обеспечении удаленного доступа ScreenConnect. Этот инцидент затронул ограниченное число клиентов, размещённых в облаке, и вызвал значительный резонанс в сообществе поставщиков управляемых услуг (Managed Service Providers, MSP).
Суть уязвимости CVE-2025-3935
Уязвимость касается ошибки при внедрении кода ViewState, вызванной небезопасной десериализацией в платформе ASP.NET. Особенно уязвимы версии ScreenConnect 25.2.3 и более ранние. Эта критическая ошибка получила рейтинг «High» из-за возможности активного использования злоумышленниками.
Используя данную уязвимость, атакующие с привилегированным доступом на системном уровне могут:
- украсть секретные машинные ключи;
- выполнить удалённый код на уязвимых серверах;
- получить доступ к облачным средам клиентов.
Хронология и действия ConnectWise
Исходя из данных расследования, первоначальное нарушение могло произойти уже в августе 2024 года. Однако подозрительная активность была выявлена компанией только в мае 2025 года.
После обнаружения инцидента ConnectWise привлекла экспертов из компании Mandiant для проведения всестороннего расследования и работает в координации с правоохранительными органами. Однако точные данные о числе затронутых клиентов, продолжительности взлома и подтверждённых вредоносных действиях не раскрываются.
_По некоторым обсуждениям среди пострадавших клиентов, атака, вероятно, началась с компрометации внутренней сети ConnectWise_, — отмечают специалисты.
Механизм атаки и последствия
Основным результатом атаки стало хищение секретных машинных ключей, которые позволили злоумышленникам:
- получить несанкционированный доступ к серверам;
- возможное подключение к средам клиентов облачных сервисов.
В ответ на инцидент ConnectWise заявила, что после введённых мер по сдерживанию угроз и обновления протоколов безопасности подозрительная активность более не наблюдается.
Предыстория и рекомендации
Данный инцидент следует за другим крупным нарушением — уязвимостью CVE-2024-1709 в ScreenConnect, которая уже использовалась группами программ-вымогателей и государственно спонсируемыми хакерами.
Эксперты рекомендуют пострадавшим организациям:
- незамедлительно заменить учетные данные;
- провести тщательный аудит систем на признаки несанкционированного доступа;
- усилить меры реагирования на инциденты в кибербезопасности.
Перспективы и дальнейшие шаги
ConnectWise продолжает расследование и обещает своевременно публиковать обновления по мере появления новой информации. Этот случай подчёркивает острую необходимость быстрого реагирования и строгих мер безопасности в условиях постоянных атак хакеров на ИТ-платформы управления.
В эпоху, когда киберугрозы становятся всё более изощрёнными, этот инцидент служит напоминанием для всего IT-сообщества о важности своевременного патчинга уязвимостей и слаженного взаимодействия с экспертами в области кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



