Şirket Çarşamba günü yaptığı açıklamada, şüpheli bir “sofistike ulus devlet oyuncusu”, ConnectWise müşterilerinin “çok küçük bir sayı” bulut örneklerinden tehlikeye attı.
Cuma günü yaptığı açıklamada, “Yama 24 Nisan’da piyasaya sürüldüğünden beri Screenconnect bulut örneklerinde ek şüpheli etkinlik gözlemlemedik” diye ekledi.
Söz konusu yama, saldırganların kötü amaçlı kod enjekte etmesine ve temel sunucuda kimlik doğrulanmamış uzaktan kod yürütülmesine izin verebilen ScreAnconnect sürümlerini 25.2.3 ve önceki bir ViewState firalizasyon kırılganlığı olan CVE-2025-3935’i düzeltiyor.
Ne oldu?
ConnectWise, Yönetilen Hizmet Sağlayıcıları (MSP’ler), BT departmanları ve teknoloji çözüm sağlayıcıları (TSP’ler) için tasarlanmış bir yazılım çözümleri geliştiren Florida merkezli bir şirkettir.
ScreAnconnect, ConnectWise tarafından bulut altyapılarında barındırılabilen veya kuruluşlar tarafından kendi özel fiziksel veya sanal altyapılarında veya özel bulutlarında barındırılabilen popüler uzaktan destek/erişim teklifidir.
Connectwise, ConnectWise tarafından barındırılan müşteri örneklerine işaret eden şüpheli faaliyetlerden bahsedilen şüpheli faaliyetlerden bahsedildi-görünüşe göre 24 Nisan yamasından (CVE-2025-3935 için) konuşlandırıldı.
Şirketin ilk güvenlik etkinliği danışmanlığı kısaydı ve Cuma günü eklenen sık sorulan sorular (SSS) bölümü, uzlaşmanın nasıl gerçekleştiği konusunda daha fazla netlik sağlayamadı.
ConnectWise, Mantiant’ın adli uzmanlarının saldırı araştırmalarını araştırmalarına yardımcı olduklarını doğruladı. Daha fazla bilgi için ConnectWise’a ulaştık, ancak bizi seyrek danışmanlığa işaret ettiler.
Şirket, “Soruşturmamız devam ediyor ve mümkün olduğunca ek bilgileri paylaşacağız” dedi.
CVE-2025-3935 HAKKINDA
ScreAnconnect, Microsoft tarafından web uygulamaları ve hizmetleri oluşturmak için geliştirilen bir web çerçevesi olan ASP.NET kullanılarak oluşturulmuştur.
ASP.NET Web Formları, ziyaretler arasındaki bir web sayfasının durumunu hatırlamak için ViewState’i kullanır ve bunu ilgili verileri bir dizeye dönüştürerek, Base64 ile kodlayarak ve web sayfasının __ViewState Gizli Alanına koyarak yapar. Bu verileri kurcalamaya karşı korumak için ASP.net makine anahtarları kullanır.
Ancak saldırganlar bu anahtarlara ellerini alırlarsa, kötü niyetli bir görüntüleme oluşturabilir ve web sitesine bir posta isteği yoluyla gönderebilirler. Web sitesi verilerin güvenli olduğunu düşünecek ve çalıştıracak, böylece saldırganların web sitesinin sunucusunda potansiyel olarak kötü amaçlı kodları uzaktan yürütmesine izin verecektir.
Bu nedenle saldırının başarısı, makine tuşlarını çıkarmak için ayrıcalıklı erişim elde eden saldırganlara bağlı ve elbette, seansizasyon kusurundan nasıl yararlanacağını bilerek.
ConnectWise’ın geliştiricileri, ViewState’i devre dışı bırakan ve ona bağımlılığı ortadan kaldıran ScreAnconnect 2025.4 yamasını iterek bu riski azalttılar.
Ne yazık ki, saldırganların yama uygulanmadan önce bu güvenlik açığını kullanmayı başardıkları anlaşılıyor: Bir (profesyonelce) müşterinin Reddit’i etkilediği için, örneğinin uzlaşması Kasım 2024’te gerçekleşti.
ConnectWise, Screenconnect’i etkilediği için güvenlik açığı, CVE-2025-3935 olarak etiketlenmiştir, ancak sorun ASP.NET Framework / ViewState kullanılarak herhangi bir ürünü etkili bir şekilde etkiliyor, ConnectWise belirtti.
Benzer bir güvenlik açığı, saldırganlar tarafından Gladinet’in Centrestack ve Triofox dosya paylaşımını ve uzaktan erişim platformlarını tehlikeye atmak için de kullanılmıştır: CVE-2025-30406, saldırganların Viewstate verilerini başarıyla dövmesine izin veren sert kodlanmış makine anahtarlarından kaynaklanmıştır.
Finansal olarak motive olmuş tehdit aktörleri ve devlet destekli saldırganlar geçen yıl bir screenconect güvenlik açığından kötü bir şekilde yararlandı, ancak ConnectWise bu son saldırının bununla ilgili olmadığını söylüyor.
“[This recently discovered] Şüpheli faaliyet, istihbarat toplama ile bilinen bir ulus devlet tehdit oyuncusu ile bağlandı ”dedi.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!