שחקני איומים מנצלים פגיעות של ConnectWise

פגיעות ב-ScreenConnect של ConnectWise, שזוהתה מוקדם יותר השנה כדרך פוטנציאלית עבור שחקני איומים לבצע התקפות הזרקת קוד של ViewState, מנוצלת כעת, כך לפי CISA, הסוכנות לאבטחת סייבר ותשתיות בארה"ב.

הסוכנות הוסיפה השבוע (ב') את הפגיעות, וסימנה אותה כ-CVE-2025-3935, לקטלוג הפגיעויות הידועות שלה.

CISA כתבה כי "ConnectWise ScreenConnect מכיל פגיעות אימות לא תקין. פגיעות זו יכולה לאפשר מתקפת הזרקת קוד ViewState, אשר עלולה לאפשר ביצוע השתלטות מרחוק על מערכות היעד".

ConnectWise אישרה בשבוע שעבר כי היא "סבלה ממתקפת סייבר, שהובילה לגישה לא מורשית לתשתית הענן ScreenConnect שלה".

🗞️ CISA Issues Urgent Alert on Exploited ConnectWise ScreenConnect Vulnerability

CISA warns of active exploitation of a ConnectWise ScreenConnect vulnerability, CVE-2025-3935, which allows remote code execution on vulnerable servers. Federal agencies and users are urged to patch… pic.twitter.com/SsAzLo2uuI

— Adam Goss (@gossy_84) June 4, 2025

הערכה: שחקן מתוחכם הפועל בחסות מדינת לאום

החברה סירבה להגיב על הפגיעות החדשה ש-CISA פרסמה השבוע, והפנתה את העיתונאים לייעוץ אירועי האבטחה שלה מה-28 במאי, בו נכתב: "נודע לנו באחרונה על פעילות חשודה בסביבה שלנו. לדעתנו היא קשורה לשחקן מתוחכם הפועל בחסות מדינת לאום. פעילות חשודה זו השפיעה על מספר קטן מאוד של לקוחות. פתחנו בחקירה עם מנדיאנט מבית גוגל, מהמומחים המובילים לזיהוי פלילי בדיגיטל. יצרנו קשר עם כל הלקוחות המושפעים ואנו מתואמים עם רשויות אכיפת החוק. כחלק מעבודתנו עם מנדיאנט, יישמנו אמצעי ניטור והקשחה משופרים ברחבי הסביבה שלנו. לא צפינו בפעילות חשודה נוספת. אנו עוקבים מקרוב אחר המצב ונשתף מידע נוסף ככל שנוכל". היא הוסיפה כי "שחקן האיום ידוע באיסוף מודיעין, ואין מדובר במתקפת כופרה. אנו מתמקדים כעת בהבטחת זיהוי ותיקון ההשפעה על שותפים ומערכות השותפים. החקירה נמשכת".

הפגיעות של ScreenConnect דווחה בראשונה בסוף השנה שעברה על ידי מרכז מודיעין האיומים של מיקרוסופט (Microsoft Threat Intelligence).