IT管理软件巨头ConnectWise披露遭遇疑似国家级黑客攻击,其ScreenConnect远程工具部分云客户环境遭入侵。公司公告称:“近期发现可疑活动,经研判系复杂国家级攻击者所为,受影响ScreenConnect客户数量极少。”目前ConnectWise已联合曼迪昂特开展取证调查,并协调执法部门处理。
这家佛罗里达企业为托管服务商(MSP)提供IT管理、远程监控及网络安全解决方案,ScreenConnect作为核心产品可实现技术人员对客户系统的安全远程维护。据CRN报道,ConnectWise已实施网络强化措施并部署增强监控系统,宣称客户环境未发现后续异常活动。
尽管ConnectWise拒绝透露具体受影响客户数、入侵时间及是否观察到恶意活动,但消息人士向BleepingComputer透露:攻击实际发生于2024年8月,公司直至2025年5月才察觉,且仅波及云托管版ScreenConnect实例。MSP服务商CNWR总裁杰森·斯拉格尔证实受害者数量极少,暗示攻击者实施的是精准定向攻击。
Reddit论坛用户披露关键细节:事件与CVE-2025-3935漏洞相关。该高危漏洞影响ScreenConnect 25.2.3及更早版本,因ASP.NET ViewState反序列化缺陷导致代码注入。拥有系统特权的攻击者可窃取服务器密钥构造恶意载荷,最终实现远程代码执行。ConnectWise虽未确认漏洞遭利用,但承认已于4月24日修复该“高危”漏洞,并在公开披露前完成云平台(screenconnect.com/hostedrmm.com)补丁更新。
鉴于仅云托管实例受影响,安全专家推测攻击者可能先入侵ConnectWise系统窃取密钥,进而通过RCE控制ScreenConnect服务器渗透客户环境。多位客户向BleepingComputer投诉ConnectWise拒绝提供入侵指标(IOC)及事件细节,致使客户无法有效排查风险。值得警惕的是,ScreenConnect去年曝光的CVE-2024-1709漏洞曾被勒索团伙及朝鲜APT组织用于恶意软件攻击。
消息来源: bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容