Provajder softvera za upravljanje IT sistemima ConnectWise upozorio je korisnike da je navodni haker, koji djeluje u ime nepoznate države, kompromitovao njegovu mrežu.
„ConnectWise je nedavno otkrio sumnjivu aktivnost unutar našeg okruženja za koju vjerujemo da je povezana sa sofisticiranim hakerom podržanim od strane nepoznate države, a koja je uticala na veoma mali broj korisnika ScreenConnect-a“, navela je kompanija u kratkom saopštenju.
Kompanija sa sjedištem na Floridi kaže da je obavijestila sve pogođene korisnike i da zajedno sa kompanijom Mandiant istražuje incident. Takođe su obaviješteni i organi reda.
„Kao dio našeg rada sa kompanijom Mandiant, sproveli smo pojačane mjere nadzora i očvršćivanja našeg okruženja. Nismo primijetili nikakvu dodatnu sumnjivu aktivnost u bilo kom korisničkom okruženju“, saopštila je kompanija.
„Pažljivo pratimo situaciju i podijelićemo dodatne informacije čim budemo u mogućnosti“, rekao je ConnectWise u odgovoru na upit portala SecurityWeek. Kompanija je odbila da podijeli više detalja o incidentu.
Prema objavama na Redditu, upad se vjerovatno dogodio u novembru 2024. godine, a ConnectWise je od tada identifikovao i otklonio osnovnu ranjivost.
Čini se da je bezbjednosni propust u pitanju CVE-2025-3935, ranjivost visokog nivoa rizika koja je izložila verzije ScreenConnect-a 25.2.3 i starije napadima ubrizgavanja koda putem ViewState-a, što je omogućilo udaljenim napadačima da izvrše proizvoljni kod na serveru.
Uspješna eksploatacija ovog propusta zahtijeva da napadač dođe do ključnih podataka (machine keys) koji štite ViewState, a za to je prethodno potrebna pristupna privilegija na sistemskom nivou.
ConnectWise je objavio zakrpe za ovaj propust 24. aprila, kada je saopštio da je o problemu obaviješten od strane Microsoft-a, koji je u decembru 2024. uočio „zloupotrebu javno dostupnih ASP.NET machine keys za ubrizgavanje malicioznog koda i implementaciju post-eksploatacionog okvira“.
„Microsoft je otkrio da su javno dostupni ključevi korišćeni za sprovođenje malicioznih aktivnosti na serverima generalno“, naveli su iz ConnectWise-a, naglašavajući da su svi proizvodi koji koriste ViewState mehanizam ASP.NET okvira vjerovatno pogođeni.
ConnectWise ScreenConnect, popularna aplikacija za udaljeni pristup koja se hostuje lokalno, a omogućava upravljanje uređajima, rad na daljinu i tehničku podršku, poznata je po tome što je ranije bila meta napada u realnom okruženju, s ciljem kompromitovanja mreža preduzeća radi krađe podataka i distribucije ransomware-a.
Izvor: SecurityWeek
