Perusahaan perangkat lunak manajemen TI ConnectWise mengatakan dugaan serangan cyber yang disponsori negara melanggar lingkungannya dan memengaruhi sejumlah pelanggan screenconnect.
“ConnectWise baru -baru ini mengetahui aktivitas mencurigakan di lingkungan kami yang kami yakini terkait dengan aktor negara negara yang canggih, yang mempengaruhi sejumlah kecil pelanggan screenconnect,” ConnectWise dibagikan di a penasihat singkat.
“Kami telah meluncurkan penyelidikan dengan salah satu pakar forensik terkemuka, Mandiant. Kami telah menghubungi semua pelanggan yang terkena dampak dan berkoordinasi dengan penegakan hukum.”
ConnectWise adalah perusahaan perangkat lunak berbasis di Florida yang menyediakan manajemen TI, RMM (pemantauan dan manajemen jarak jauh), cybersecurity, dan solusi otomatisasi untuk Departemen Layanan Terkelola (MSP) dan Departemen TI.
Salah satu produknya adalah Screenconnect, alat akses jarak jauh dan pendukung yang memungkinkan teknisi untuk terhubung dengan aman ke sistem klien untuk pemecahan masalah, penambalan, dan pemeliharaan sistem.
Seperti yang pertama kali dilaporkan oleh Crnperusahaan sekarang mengatakan telah menerapkan peningkatan pemantauan dan mengeraskan keamanan di seluruh jaringannya.
Mereka juga menyatakan bahwa mereka belum melihat aktivitas mencurigakan lebih lanjut dalam contoh pelanggan.
ConnectWise tidak menjawab pertanyaan BleepingComputer tentang berapa banyak pelanggan yang terpengaruh, ketika pelanggaran terjadi, atau apakah aktivitas jahat diamati dalam instance screenconnect pelanggan.
Namun, sebuah sumber mengatakan kepada BleepingComputer bahwa pelanggaran itu terjadi pada Agustus 2024, dengan Connectwise menemukan aktivitas yang menarik pada Mei 2025, dan itu hanya memengaruhi instance screenconnect berbasis cloud. BleepingComputer belum dapat mengkonfirmasi tanggal pelanggaran secara mandiri.
Jason Slagle, presiden penyedia layanan terkelola CNWR, mengatakan kepada BleepingComputer bahwa hanya sejumlah kecil pelanggan yang terkena dampak, menunjukkan aktor ancaman melakukan serangan yang ditargetkan terhadap organisasi tertentu.
Di sebuah Utas redditPelanggan berbagi rincian lebih lanjut, menyatakan insiden tersebut terkait dengan kerentanan screenconnect yang dilacak sebagai CVE-2025-3935ditambal pada 24 April.
Cairan CVE-2025-3935 adalah bug injeksi kode view-statsate tinggi yang disebabkan oleh deserialisasi yang tidak aman dari ASP.NET view-statistik dalam versi screenconnect 25.2.3 dan sebelumnya.
Aktor ancaman dengan akses tingkat sistem istimewa dapat mencuri kunci mesin rahasia yang digunakan oleh server screenconnect dan memanfaatkannya untuk membuat muatan berbahaya yang memicu eksekusi kode jarak jauh di server.
Sementara ConnectWise tidak menyatakan bahwa kerentanan ini dieksploitasi pada saat itu, itu ditandai sebagai prioritas “tinggi”, yang menunjukkan bahwa ia dieksploitasi secara aktif atau membawa risiko eksploitasi yang signifikan.
Perusahaan juga menyatakan bahwa cacat itu ditambal pada platform screenconnect yang diselenggarakan dengan cloud di “screenconnect.com” dan “hostedrmm.com” sebelum secara publik diungkapkan kepada pelanggan.
Karena pelanggaran hanya memengaruhi instance screenconnect yang di-host cloud, ada kemungkinan bahwa aktor ancaman pertama kali melanggar sistem ConnectWise dan mencuri kunci mesin.
Dengan menggunakan kunci -kunci itu, penyerang dapat melakukan eksekusi kode jarak jauh di server screenconnect perusahaan dan berpotensi mengakses lingkungan pelanggan.
Namun, perlu dicatat bahwa ConnectWise belum mengkonfirmasi apakah ini adalah bagaimana contoh pelanggan dilanggar.
Pelanggan yang berbicara kepada BleepingComputer frustrasi oleh kurangnya indikator kompromi (IOC) dan informasi yang dibagikan oleh Connectwise, meninggalkan mereka dengan sedikit informasi tentang apa yang terjadi.
Tahun lalu, cacat screenconnect dilacak sebagai CVE-2024-1709 dieksploitasi oleh geng ransomware dan a Grup peretasan apt Korea Utara untuk menjalankan malware.
BleepingComputer mengirim pertanyaan tambahan ke ConnectWise tetapi belum mendengar kabar saat ini.
