Компания ConnectWise объявила о срочной замене цифровых сертификатов для подписания программного кода таких продуктов, как ScreenConnect, ConnectWise Automate и решений для удалённого мониторинга и управления (RMM). Это связано с выявленными уязвимостями в безопасности.
В компании пояснили, что инициируют этот шаг после предупреждений независимого исследователя, который обнаружил проблемы с обработкой конфигурационных данных в ранних версиях ScreenConnect.
Хотя подробности инцидента не публиковались, в закрытом разделе FAQ для клиентов (позже появившемся на Reddit) было разъяснено следующее —
Риск заключается в том, что ScreenConnect хранит часть конфигурации в области инсталлятора, которая не защищена цифровой подписью, хотя и входит в состав установочного пакета. Эта область используется для передачи настроек соединения между агентом и сервером, например, URL, который агент должен использовать, при этом не нарушая подпись пакета. Такой способ настройки применяют и другие разработчики, однако с учётом современных стандартов безопасности это считается небезопасным решением.
Кроме выпуска новых сертификатов, ConnectWise готовит обновление, чтобы улучшить обработку конфигурационных данных в ScreenConnect.
Отзыв старых сертификатов запланирован на 13 июня в 21:00 по восточному времени США (14 июня в 00:00 по UTC). При этом в компании подчёркивают, что инцидент не связан с взломом их систем или компрометацией сертификатов.
Отметим, что автоматическое обновление сертификатов и агентов уже запущено для всех облачных версий Automate и RMM от ConnectWise.
Тем не менее пользователям локальных (on-premise) версий ScreenConnect и Automate необходимо установить последние обновления и убедиться, что все агенты обновлены до указанного срока, чтобы избежать сбоев в работе сервисов.
В комментариях ConnectWise заявил: «Мы давно планировали улучшить управление сертификатами и повысить устойчивость продуктов, но теперь спешим реализовать эти изменения. Понимаем, что переход может вызвать неудобства, поэтому готовы всесторонне поддержать вас в этом процессе».
Это заявление появилось всего через несколько дней после сообщения о том, что подозреваемый хакерский коллектив, возможно связанный с государственными структурами, проник в системы компании и затронул небольшую группу её клиентов, воспользовавшись уязвимостью CVE-2025-3935 для атак с внедрением кода через механизм ViewState.
Кроме того, злоумышленники всё чаще используют легитимное ПО для удалённого управления, такое как ScreenConnect, чтобы незаметно сохранять длительный и устойчивый удалённый доступ — маскируя свои действия под обычную работу и уклоняясь от обнаружения.
Этот метод атак, известный как living-off-the-land (LotL), позволяет злоумышленникам использовать встроенные возможности удалённого доступа, передачи файлов и выполнения команд для захвата контроля над системами.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru