BT yönetimi ve uzaktan erişim yazılımının önde gelen bir sağlayıcısı olan ConnectWise, sofistike bir ulus devlet aktörüne atfedilen bir siber saldırıyı doğruladı.
Mayıs 2025’te keşfedilen ihlal, şirketin uzaktan destek ve sistem bakımı için yaygın olarak kullanılan bir araç olan ScreAnconnect bulut platformunu kullanarak sınırlı sayıda müşteriyi etkiledi.
Connectwise, adli tıp uzmanlarına manianttan etkilenerek, etkilenen müşterileri uyararak ve kolluk kuvvetleri ile koordineli olarak yanıt verdi.
.png
)
Şirket, gelişmiş izleme ve güvenlik sertleşmesinin o zamandan beri uygulandığını ve müşteri ortamlarında başka şüpheli faaliyetlerin tespit edilmediğini ileri sürmektedir.
Saldırının, Screenconnect’te CVE-2025-3935 olarak izlenen kritik bir güvenlik açığından yararlandığına inanılıyor.
Bu yüksek şiddetli kusur olan CVSS 8.1 olarak derecelendirilmiş, ViewState kodu enjeksiyonu yoluyla uzaktan kodu yürütmek için ayrıcalıklı sistem düzeyinde erişimi olan saldırganlara, ASP.NET çerçevesinde güvenli olmayan seansizasyondan yararlanmasına izin verdi.
ConnectWise tam olarak sömürü yöntemini kamuya açıklamamış olsa da, güvenlik araştırmacıları ve topluluk raporları, saldırganların bulut altyapısından makine anahtarlarını çaldığını ve kötü niyetli yükler oluşturmalarını ve yetkisiz erişim kazanmalarını sağlayabileceğini düşündürmektedir.
ViewState Kod Enjeksiyon ve Makine Anahtarı Kötüye Kullanımı
Güvenlik açığının çekirdeği, istemci ve sunucu arasındaki sayfayı ve kontrol durumunu koruyan ASP.net ViewState mekanizmasında yatmaktadır.
ViewState verileri Base64’te kodlanır ve makine anahtarları ile korunur – özellikle, özellikle, ValidationKey Mesaj Kimlik Doğrulama Kodu (MAC) Üretimi ve DecryptionKey şifreleme için.
Bu anahtarlar tehlikeye atılırsa, bir saldırgan kötü niyetli bir görünüm yükü oluşturabilir ve bir posta isteği aracılığıyla sunucuya gönderebilir.
İşleme üzerine ASP.NET çalışma zamanı, sunucunun belleğinde keyfi kod yürüterek ve saldırgan uzaktan kod yürütme (RCE) özelliklerini vererek yükü çözer ve doğrular.
Aşağıda, makine anahtarlarının bir ASP.NET yapılandırma dosyasında nasıl tanımlandığına bir örnek verilmiştir:
xmlSaldırganlar bu anahtarları alırlarsa, ysoserial.net Kötü niyetli bir ViewState yükü oluşturmak için:
bashysoserial.exe -g ViewState -p TextFormattingRunProperties -c "calc.exe" --validationKey --decryptionKey
Bu yük daha sonra sunucudaki kod yürütmeyi tetikleyen savunmasız bir uç noktaya gönderilebilir.
| Teknik terim | Tanım |
|---|---|
| Viewstate | ASP.NET Mekanizması İstemci ve sunucu arasındaki durumu korumak, anahtarlarla kodlanmış ve korunmaktadır. |
| Makine anahtarı | Kriptografik anahtarlar (ValidationKey– DecryptionKey) ViewState verilerini güvence altına almak için kullanılır. |
| Uzak Kod Yürütme (RCE) | Bir saldırganın uzak bir sunucuda keyfi kod çalıştırma yeteneği. |
| CVE-2025-3935 | ScreAnconnect’teki ViewState Kodu Enjeksiyon Güvenlik Açığı Tanımlayıcısı. |
ConnectWise, ViewState güvenlik açığını ele almak için kritik bir güvenlik yaması (sürüm 25.2.4) yayınladı.
Tüm ScreAnconnect bulut sunucuları proaktif olarak güncellenirken, şirket içi kullanıcıların belirli bir yükseltme yolundan hemen sonra yükseltme yapmaları şiddetle tavsiye edilir (22.8 → 23.3 → 25.2.4).
En son sürüme yükselemeyenler için, 23.9’dan itibaren belirli eski sürümler için ücretsiz güvenlik yamaları mevcuttur.
Şirket ayrıca yetkisiz idari hesaplar, şüpheli komutlar veya web kabuğu etkinliği gibi uzlaşma göstergeleri (IOCS) için gelişmiş izleme önermektedir.
Güvenlik uzmanları aşağıdakilerin önemini vurgulamaktadır:
- Yazılımı en son yamalı sürümlere düzenli olarak güncellemek.
- Makine tuşlarını koruma ve döndürme.
- Şüpheli aktivite ve yetkisiz erişim için izleme.
- Personelin kimlik avı girişimlerini tanıması için eğitilmesi, özellikle de ekran bağlantısı giriş uyarılarını taklit edenler.
Olay, ulus-devlet aktörleri tarafından ortaya çıkan kalıcı tehdidin ve uzaktan erişim çözümlerinde zamanında yama ve sağlam güvenlik uygulamalarına yönelik kritik ihtiyacın altını çiziyor.
Soruşturmalar devam ettikçe, screenconnect kullanan kuruluşların uyanık kalmaları ve önerilen tüm güvenlik önlemlerinin mevcut olmasını sağlamaları tavsiye edilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!