ConnectWise ScreAnconnect’te CVE-2025-3935 olarak izlenen ve CWE-287 (uygunsuz kimlik doğrulama) ile eşleştirilen kritik bir uygunsuz kimlik doğrulama güvenlik açığı keşfedilmiştir.
Bu kusur, 25.2.3’e kadar olan ve dahil olmak üzere tüm screAnconct sürümlerini etkiler ve bunları makine anahtarları tehlikeye atılırsa uzaktan kod yürütme (RCE) ile sonuçlanabilecek kod enjeksiyon saldırılarına maruz bırakır.
Teknik Ayrıntılar:
- ASP.net’te ViewState: ScreAnconnect, Page ve Talepler arasında durumun devam etmesi için ViewState’i kullanan ASP.NET Web Formlarından yararlanır. ViewState verileri Base64’te kodlanır ve makine tuşları (validationKey ve DeclyptionKey) ile korunur.
- Saldırı Vektörü: Bir saldırgan makine anahtarlarını alırsa-ayrıcalıklı sistem düzeyinde erişim gerektirir-kötü niyetli bir görünüm yükü oluşturabilir ve bir sonrası isteği aracılığıyla gönderebilirler. İşleme üzerine ASP.NET çalışma zamanı, Sunucuda Saldırgan tarafından sağlanan kodu potansiyel olarak yürüterek ViewState’in şifresini çözer ve doğrular.
- Sömürülebilirlik: Güvenlik açığı yüksek şiddet (CVSS 8.1/10) olarak derecelendirilir ve öncelik 1 riski olarak kabul edilir, yani aktif olarak hedeflenen veya yüksek sömürü riski vardır.
Güvenlik Açığı Özeti Tablo
| CVE | CWE | Şiddet | CVSS | Saldırı vektörü | Darbe |
|---|---|---|---|---|---|
| CVE-2025-3935 | 287 | Yüksek | 8.1 | Viewstate enjeksiyonu | Uzak Kod Yürütme |
Gerçek dünyadaki etki ve tehdit manzarası
ScreAnconnect, uzak masaüstü erişimi, BT desteği ve varlık yönetimi için yaygın olarak kullanılır, bu da onu saldırganlar için değerli bir hedef haline getirir.
.png
)
Bu özel kırılganlığın fidye yazılımı kampanyalarında kullanıldığına dair doğrulanmış bir kanıt olmasa da, ConnectWise, sınırlı müşteri ortamlarında kusurdan yararlanan şüpheli devlet destekli aktörleri içeren olayları bildirmiştir.
Geçmişte, veri hırsızlığı ve fidye yazılımı dağıtımı için ekran bağlantısı güvenlik açıkları kaldırılmıştır.
Olay Zaman Çizelgesi:
- Aralık 2024: Microsoft Tehdit İstihbaratı, Screenconnect de dahil olmak üzere sunuculara kötü amaçlı kod enjekte etmek için halka açık ASP.NET makine anahtarlarının vahşi olarak kötüye kullanılmasını gözlemledi.
- Nisan 2025: Connectwise yayınlanan sürüm 25.2.4 sürümünü, ViewState’i devre dışı bırakarak bağımlılığını ortadan kaldırarak güvenlik açığını etkili bir şekilde yamalayarak sürüm.
- Mayıs 2025: ConnectWise, sofistike bir ulus devlet oyuncusunun çevresini ihlal ettiğini ve az sayıda Screenconnect müşterisini etkilediğini açıkladı.
Azaltma, uyumluluk ve yükseltme rehberliği
ConnectWise, güvenlik açığını azaltmak için acil rehberlik ve yamalar yayınladı.
Şirket aşağıdaki işlemleri şiddetle tavsiye eder:
Azaltma Adımları:
- Hemen Yama: 25.2.4 veya üstü ScreAnconnect sürümüne yükseltin. Bu güncelleme, ViewState’i devre dışı bırakır ve saldırı vektörünü kapatarak bağımlılığını ortadan kaldırır.
- Bulut Örnekleri: Bu platformlar zaten güncellendiğinden, “screenconnect.com” veya “hostedrmm.com” adresindeki buluta sahip ScreAnconnect kullanıcıları için herhangi bir işlem gerekmez.
- Şirket içi örnekler: Manuel yükseltme, 25.2.3 veya daha erken çalışan tüm şirket içi dağıtımlar için zorunludur. Seçilmiş eski sürümler için ücretsiz güvenlik yamaları mevcuttur.
- Güvenlik Sertleştirme: Yama yaptıktan sonra, yönetici şifrelerini sıfırlayın, çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin ve olağandışı aktivite izleyin.
- Uyum: Federal ajanslar için CISA’nın Bağlayıcı Operasyonel Direktifi (BOD) 22-01’i takip edin, bu da bilinen sömürülen güvenlik açıklarının (23 Haziran 2025) iyileştirilmesini zorunlu kılar.
Yükseltme Yolu tablosu
| Mevcut Sürüm | 25.2.4+ |
|---|---|
| ≤ 23.9.7 | 1 → 2.5 →… → 23.9.8 → 25.2.4 |
| 25.2.3 | 25.2.4’e doğrudan yükseltme |
Anahtar Kodlar ve Terimler:
- CVE-2025-3935: Bu kusur için güvenlik açığı tanımlayıcısı.
- CWE-287: Yanlış kimlik doğrulama için sınıflandırma.
- ViewState: Durum kalıcılığı için ASP.NET mekanizması.
- Makine Anahtarları: ViewState’i güvence altına almak için kullanılan kriptografik anahtarlar (validationKey, DecloyptionKey).
Yöneticiler, sömürü ve potansiyel uzlaşmayı önlemek için uzaktan erişim altyapısını güvence altına almak için hemen yamalar uygulamaları, iyileştirmeyi doğrulamaları ve en iyi uygulamaları izlemeleri istenir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!