该公司周三透露,一个疑似“老练的民族国家行为者”已经入侵了“极少数”ConnectWise 客户的 ScreenConnect 云实例。
“自 4 月 24 日发布补丁以来,我们没有在 ScreenConnect 云实例中观察到任何其他可疑活动,”他们在周五补充道。
该补丁修复了 CVE-2025-3935,这是一个影响 ScreenConnect 版本 25.2.3 及更早版本的 ViewState 反序列化漏洞,该漏洞可能允许攻击者注入恶意代码并在底层服务器上实现未经身份验证的远程代码执行。
发生了什么事?
ConnectWise 是一家总部位于佛罗里达州的公司,致力于为托管服务提供商 (MSP)、IT 部门和技术解决方案提供商 (TSP) 开发量身定制的软件解决方案。
ScreenConnect 是该公司流行的远程支持/访问产品,可以由 ConnectWise 托管在其云基础设施上,也可以由组织在其自己的专用物理或虚拟基础设施或私有云中自行托管。
ConnectWise 提到了其环境中的可疑活动,这表明 ConnectWise 托管的客户实例已经被盗用——显然是在部署 4 月 24 日补丁(针对 CVE-2025-3935)之前。
该公司最初的安全事件公告很简短,周五添加的常见问题 (FAQ) 部分未能更清楚地说明泄露是如何发生的。
ConnectWise 证实,Mandiant 的法医专家正在帮助他们调查入侵事件。我们已经联系了 ConnectWise 以获取更多信息,但他们只是向我们指出了稀疏的公告。
“我们的调查正在进行中,我们将尽可能分享更多信息,”该公司表示。
关于 CVE-2025-3935
ScreenConnect 是使用 ASP.NET 构建的, 是 Microsoft 开发的 Web 框架,用于构建 Web 应用程序和服务。
ASP.NET Web Forms 使用 ViewState 来记住两次访问之间的网页状态,方法是将相关数据转换为字符串,使用 Base64 进行编码,然后将其放入网页的__VIEWSTATE隐藏字段中。为了防止此数据被篡改,ASP.NET 使用计算机密钥。
但是,如果攻击者获得了这些密钥,他们就可以构建一个恶意的 ViewState,并通过 POST 请求将其发送到网站。该网站会认为数据是安全的并会运行它,从而允许攻击者在网站的服务器上远程执行潜在的恶意代码。
因此,攻击的成功取决于攻击者获得提取机器密钥的特权访问权限,当然,也取决于他们知道如何利用反序列化漏洞。
ConnectWise 的开发人员通过推出 ScreenConnect 2025.4 补丁来降低这种风险,该补丁禁用了 ViewState 并消除了对它的任何依赖。
不幸的是,攻击者似乎在补丁实施之前就设法利用了这个漏洞:根据 Reddit 上一位(自称)受影响的客户的投诉,他们的实例遭到入侵发生在 2024 年 11 月。
ConnectWise 指出,该漏洞会影响 ScreenConnect,因此被标记为 CVE-2025-3935,尽管该问题有效地影响了使用 ASP.NET 框架/ViewState 的任何产品。
攻击者也利用类似的漏洞来破坏 Gladinet 的 CentreStack 和 Triofox 文件共享和远程访问平台:CVE-2025-30406 源于允许攻击者成功伪造 ViewState 数据的硬编码机器密钥。
去年,出于经济动机的威胁行为者和政府支持的攻击者臭名昭著地利用了 ScreenConnect 漏洞,但 ConnectWise 表示,这次最新的攻击与此无关。
“[最近发现的] 可疑活动与一个以情报收集而闻名的民族国家威胁行为者有关,”该公司分享道。
发表评论
您还未登录,请先登录。
登录