BT yönetim yazılımı firması ConnectWise, devlet destekli bir siber saldırının çevresini ihlal ettiğini ve sınırlı sayıda ScreAncect müşterisini etkilediğini söyledi.
ConnectWise, kısa bir danışmanlıkta paylaşılan “Connectwise yakın zamanda çevremizdeki şüpheli faaliyetleri, çok az sayıda screenconct müşterisini etkileyen sofistike bir ulus devlet oyuncusuna bağlı olduğuna inandığımızdan öğrendi.”
Diyerek şöyle devam etti: “Önde gelen adli tıp uzmanlarından Maniant ile bir soruşturma başlattık. Etkilenen tüm müşterilerle temasa geçtik ve kolluk kuvvetleri ile koordine ettik.”
ConnectWise, BT yönetimi, RMM (uzaktan izleme ve yönetim), siber güvenlik ve yönetilen servis sağlayıcılar (MSP’ler) ve BT departmanları için otomasyon çözümleri sağlayan Florida merkezli bir yazılım şirketidir.
Ürünlerinden biri, teknisyenlerin sorun giderme, yama ve sistem bakımı için istemci sistemlerine güvenli bir şekilde bağlanmasını sağlayan uzaktan erişim ve destek aracı olan ScreAnNect’tir.
İlk olarak CRN tarafından bildirildiği gibi, şirket şimdi gelişmiş izleme uyguladığını ve güvenliği ağında sertleştirdiğini söylüyor.
Ayrıca müşteri örneklerinde başka şüpheli etkinlik görmediklerini de belirtiyorlar.
ConnectWise, BleepingComputer’ın kaç müşterinin etkilendiğine, ihlalin meydana geldiği veya müşterilerin ekran bağlantısı örneklerinde herhangi bir kötü amaçlı etkinlik gözlemlenip gözlemlenmediğine dair soruları cevaplamadı.
Bununla birlikte, müşterilerin ihlal hakkında bilgi paylaştığı bir Reddit iş parçacığı, sadece bulut tabanlı örnekleri etkilediğini ve olayın 24 Nisan’da yamalanan CVE-2025-3935 olarak izlenen bir screenconnect güvenlik açığı ile bağlantılı olduğunu söyledi.
CVE-2025-3935 Kususu, Screenconnect sürümlerinde 25.2.3 ve önceki sürümlerde ASP.net Viewstate’in güvenli olmayan seansize edilmesinin neden olduğu yüksek aralıklı bir ViewState kodu enjeksiyon hatasıdır.
Ayrıcalıklı sistem düzeyinde erişimi olan tehdit aktörleri, bir screenconnect sunucusu tarafından kullanılan gizli makine anahtarlarını çalabilir ve bunları sunucuda uzaktan kod yürütmeyi tetikleyen kötü niyetli yükler oluşturmak için kullanabilir.
ConnectWise, bu güvenlik açığının o sırada sömürüldüğünü belirtmese de, “yüksek” öncelik olarak işaretlendi, bu da aktif olarak sömürüldüğünü veya önemli bir sömürü riski taşıdığını gösterdi.
Şirket ayrıca, kusurun müşterilere herkese açık olarak ifşa edilmeden önce “screenconnect.com” ve “hostedrmm.com” adresindeki buluta barındırılan screenconnect platformlarında yamalı olduğunu belirtti.
İhlal sadece bulutla barındırılan ekran bağlantısı örneklerini etkilediğinden, tehdit aktörlerinin önce ConnectWise sistemlerini ihlal etmesi ve makine anahtarlarını çalması mümkündür.
Bu anahtarları kullanarak saldırganlar, şirketin screenconnect sunucularında uzaktan kod yürütme yapabilir ve müşteri ortamlarına potansiyel olarak erişebilir.
Ancak, ConnectWise’ın müşterinin örneklerinin bu şekilde ihlal edilip edilmediğini doğrulamadığı belirtilmelidir.
BleepingComputer, Connection’a ek sorular gönderdi, ancak şu anda duymadı.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.