ConnectWise, saldırganların etkilenen sistemlerde kötü amaçlı kod yürütmesine izin verebilecek ciddi bir güvenlik açığını ele almak için ScreAnconnect uzaktan erişim yazılımı için acil bir güvenlik yaması yayınladı.
CVE-2025-3935 olarak tanımlanan ve CWE-287 (yanlış kimlik doğrulama) altında izlenen güvenlik açığı, 25.2.3’e kadar olan tüm screAnconnect sürümlerini etkiler.
Güvenlik araştırmacıları, 25.2.3 ve önceki Screenconnect’in ViewState kodu enjeksiyon saldırılarına duyarlı olduğunu ve 8.1 yüksek şiddetli CVSS puanı kazandığını keşfetti.
.png
)
Bu güvenlik açığı, ASP.NET Web formlarının, sunucu istekleri arasındaki durumları korumak ve durumları kontrol etmek için kullanılan ViewState-A mekanizmasını nasıl kullandıklarını kullanır.
ViewState verileri tipik olarak Base64 kullanılarak kodlanır ve makine tuşları tarafından korunur. Bununla birlikte, bu makine anahtarları ayrıcalıklı sistem düzeyinde erişim yoluyla tehlikeye atılırsa, saldırganlar savunmasız ScreAnconnect web sitelerine kötü niyetli görüntüleme verileri oluşturabilir ve gönderebilir ve potansiyel olarak sunucuda uzaktan kod yürütülmesini sağlayabilir.
ConnectWise, güvenlik bülteninde “Bu sorunun ASP.NET Framework View Stats’ı kullanan herhangi bir ürünü potansiyel olarak etkileyebileceğini anlamak çok önemlidir” dedi.
Şirket, bu güvenlik açığını, aktif olarak hedeflendiğini veya yüksek sömürü riski altında olduğunu gösteren bir öncelik 1 (yüksek) derecesi vermiştir.
Bu güvenlik açığı, Microsoft’un Şubat 2025’te uyardığı bir ViewState kodu enjeksiyon saldırıları paternini takip ediyor. Microsoft Tehdit İstihbaratına göre, saldırganlar halka açık depolarda ve belgelerde bulunan statik ASP.NET makine anahtarları kullanarak kötü amaçlı yazılım kullanıyorlar.
Güvenlik araştırmacıları sorunu izleyen “Microsoft, bu tür saldırılar için kullanılabilecek 3.000’den fazla kamuoyu açıklanmış anahtar belirledi” dedi.
Dark Web forumlarından çalınan anahtarlara dayanan önceki saldırıların aksine, kamuya açıklanan bu anahtarlar, çoklu kod depolarındaki kullanılabilirlikleri nedeniyle daha yüksek bir risk oluşturmaktadır.
ConnectWise, ViewState’i devre dışı bırakarak ve ona bağımlılığı kaldırarak güvenlik açığını ele alan 24 Nisan 2025’te ScreAnconnect sürüm 25.2.4 sürümünü yayınladı.
“Screenconnect.com” platformundaki bulut tabanlı kullanıcılar (hem bağımsız hem de Automate/RMM ile entegre edilmiş) veya “hostedrmm.com” ile otomat ortakları için, bu sunucuların sorunu gidermek için güncellendiği için herhangi bir işlem gerekmez.
Ancak, şirket içi kullanıcılar derhal harekete geçmelidir:
- Yönetim/lisans sayfasına gidin ve sürüm onay kutusunu genişletin.
- Şu anda 25.2.3 veya daha önce çalışıyorsanız en son 25.2.4 sürümünü yükleyin.
- Süresi dolmuş bakım lisansları olan kullanıcılar, yükseltmeden önce yenilenmeli veya 23.9 sürümüne dayanan belirli eski sürümler için mevcut ücretsiz güvenlik yamalarını kullanmalıdır.
ConnectWise, tüm şirket içi ortaklara, sunucularını yamalayıp düzenlemediklerine bakılmaksızın, sistemlerini çevrimiçi olarak geri getirmeden önce uzlaşma belirtileri için değerlendirmelerini tavsiye eder.
Bir uzlaşmadan şüpheleniliyorsa, şirket etkilenen sunucuları izole etmek ve analiz için yedeklemeler oluşturmak da dahil olmak üzere yerleşik olay müdahale prosedürlerini takip etmeyi önerir.
Bu güvenlik açığı, fidye yazılımı grupları da dahil olmak üzere tehdit aktörleri aktif olarak sömürülen Şubat 2024’ten (CVE-2024-1709 ve CVE-2024-1708) önceki kritik screencect kusurlarını takip ediyor.
Bu yeni güvenlik açığı farklı çalışırken, giderek daha fazla dağıtılan bir çalışma ortamında uzaktan erişim yazılımının karşılaştığı devam eden güvenlik zorluklarını vurgulamaktadır.
ScreAnconnect kullanan kuruluşlar, altyapılarını potansiyel sömürüden korumak için yamalı versiyonu hemen uygulamaya teşvik edilir.
SOC ve DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.