- 19,445
- 40
- 8 Ноя 2022
Их серверы хакнули почти год назад, но вы об этом узнали только сейчас.
Компания ConnectWise, разрабатывающая ПО для управления ИТ-инфраструктурой, Для просмотра ссылки Войдиили Зарегистрируйся о компрометации своей среды в результате, как утверждается, целенаправленной атаки, связанной с деятельностью иностранного государства. По данным компании, инцидент затронул лишь ограниченное количество пользователей облачного сервиса Для просмотра ссылки Войди или Зарегистрируйся , используемого для удалённого доступа и техподдержки.
В официальном уведомлении ConnectWise Для просмотра ссылки Войдиили Зарегистрируйся , что выявила «подозрительную активность», которую связывает с действиями «сложного атакующего уровня Для просмотра ссылки Войди или Зарегистрируйся государства». Внутреннее расследование ведётся при участии команды сторонних специалистов. Пострадавшим клиентам уже направлены уведомления, также осуществляется взаимодействие с правоохранительными органами. Компания заявляет, что внедрила расширенный мониторинг и усилила безопасность во всей своей сети. ConnectWise также омтетила, что не наблюдала никакой подозрительной активности со стороны клиентов.
Компания не уточнила, сколько именно пользователей пострадало, когда именно произошёл взлом, и было ли зафиксировано вредоносное поведение в скомпрометированных экземплярах ScreenConnect. Однако источник сообщил, что атака произошла ещё в августе 2024 года, а сама ConnectWise обнаружила признаки взлома лишь в мае 2025-го. Уязвимость затронула исключительно облачные версии ScreenConnect, размещённые на доменах screenconnect.com и hostedrmm.com.
Связанные с инцидентом клиенты и участники обсуждений на Reddit Для просмотра ссылки Войдиили Зарегистрируйся , что утечка может быть связана с уязвимостью Для просмотра ссылки Войди или Зарегистрируйся . Эта ошибка, получившая высокий приоритет, связана с небезопасной десериализацией в механизме ASP.NET ViewState и позволяет выполнить произвольный код на сервере через подделку данных, если злоумышленнику удалось получить ключи машины (machine keys). Данная Для просмотра ссылки Войди или Зарегистрируйся была устранена 24 апреля 2025 года, причём исправления были внедрены на облачных платформах ещё до официального уведомления пользователей.
Хотя ConnectWise не подтвердила, что именно CVE-2025-3935 была использована в атаке, структура уязвимости позволяет предположить, что злоумышленники сначала получили доступ к внутренним системам компании и ключам шифрования, а затем применили их для выполнения кода на серверной стороне. Таким образом, потенциально была открыта возможность для проникновения в клиентские среды через управляемые облачные инстансы ScreenConnect.
Представитель компании CNWR сообщил, что пострадало крайне ограниченное число клиентов, что может свидетельствовать о целевой атаке. При этом недовольство пользователей вызвано тем, что ConnectWise не опубликовала индикаторы компрометации (IoC) и не предоставила подробностей, необходимых для оценки возможных последствий.
Стоит напомнить, что подобный инцидент произошёл и в 2024 году, когда уязвимость Для просмотра ссылки Войдиили Зарегистрируйся в ScreenConnect была использована вымогателями и группировкой из КНДР для внедрения вредоносного ПО. Несмотря на уроки прошлого, пользователи теперь вновь сталкиваются с дефицитом информации, что затрудняет своевременное реагирование и оценку рисков.
ConnectWise пока не уточнила информацию по поводу технических подробностей и масштаба инцидента.
Компания ConnectWise, разрабатывающая ПО для управления ИТ-инфраструктурой, Для просмотра ссылки Войди
В официальном уведомлении ConnectWise Для просмотра ссылки Войди
Компания не уточнила, сколько именно пользователей пострадало, когда именно произошёл взлом, и было ли зафиксировано вредоносное поведение в скомпрометированных экземплярах ScreenConnect. Однако источник сообщил, что атака произошла ещё в августе 2024 года, а сама ConnectWise обнаружила признаки взлома лишь в мае 2025-го. Уязвимость затронула исключительно облачные версии ScreenConnect, размещённые на доменах screenconnect.com и hostedrmm.com.
Связанные с инцидентом клиенты и участники обсуждений на Reddit Для просмотра ссылки Войди
Хотя ConnectWise не подтвердила, что именно CVE-2025-3935 была использована в атаке, структура уязвимости позволяет предположить, что злоумышленники сначала получили доступ к внутренним системам компании и ключам шифрования, а затем применили их для выполнения кода на серверной стороне. Таким образом, потенциально была открыта возможность для проникновения в клиентские среды через управляемые облачные инстансы ScreenConnect.
Представитель компании CNWR сообщил, что пострадало крайне ограниченное число клиентов, что может свидетельствовать о целевой атаке. При этом недовольство пользователей вызвано тем, что ConnectWise не опубликовала индикаторы компрометации (IoC) и не предоставила подробностей, необходимых для оценки возможных последствий.
Стоит напомнить, что подобный инцидент произошёл и в 2024 году, когда уязвимость Для просмотра ссылки Войди
ConnectWise пока не уточнила информацию по поводу технических подробностей и масштаба инцидента.
- Источник новости
- www.securitylab.ru
