شرکت نرم‌افزاری ConnectWise که در زمینه مدیریت فناوری اطلاعات فعالیت می‌کند، اعلام کرد که یک حمله سایبری احتمالاً توسط یک کشور خارجی صورت گرفته و تعداد محدودی از مشتریان ScreenConnect را تحت تأثیر قرار داده است.

این شرکت که در فلوریدا مستقر است و خدمات مدیریت IT، نظارت از راه دور، امنیت سایبری و راهکارهای خودکارسازی را برای ارائه‌دهندگان خدمات مدیریت شده (MSP) و بخش‌های فناوری اطلاعات ارائه می‌دهد، در اطلاعیه‌ای کوتاه اعلام کرد: “اخیراً از فعالیت مشکوکی در محیط خود مطلع شدیم که به نظر می‌رسد به یک بازیگر پیچیده دولتی مرتبط باشد.”

ScreenConnect یکی از محصولات این شرکت است که ابزاری برای دسترسی و پشتیبانی از راه دور محسوب می‌شود و به تکنسین‌ها امکان می‌دهد به صورت امن به سیستم‌های مشتریان برای عیب‌یابی، وصله‌گذاری و نگهداری سیستم متصل شوند.

ConnectWise اعلام کرده که تحقیقاتی را با همکاری Mandiant، یکی از متخصصان برجسته در زمینه پزشکی قانونی دیجیتال، آغاز کرده و با تمام مشتریان آسیب‌دیده تماس گرفته است. همچنین این شرکت در حال هماهنگی با مقامات قانونی است.

بر اساس گزارش‌های منتشر شده، این شرکت اکنون نظارت پیشرفته‌ای را پیاده‌سازی کرده و امنیت شبکه خود را تقویت کرده است. آنها همچنین اعلام کرده‌اند که هیچ فعالیت مشکوک دیگری در نمونه‌های مشتریان مشاهده نشده است.

منابع آگاه می‌گویند که این نفوذ در ماه اوت 2024 رخ داده و ConnectWise در می 2025 متوجه فعالیت مشکوک شده است. این حمله تنها نمونه‌های ScreenConnect مبتنی بر ابر را تحت تأثیر قرار داده است.

جیسون اسلاگل، رئیس شرکت ارائه‌دهنده خدمات مدیریت شده CNWR، تأیید کرد که تنها تعداد بسیار کمی از مشتریان تحت تأثیر قرار گرفته‌اند، که نشان می‌دهد مهاجم حمله‌ای هدفمند علیه سازمان‌های خاص انجام داده است.

در یک رشته گفتگو در Reddit، مشتریان جزئیات بیشتری را به اشتراک گذاشتند و اعلام کردند که این حادثه به آسیب‌پذیری ScreenConnect با شناسه CVE-2025-3935 مرتبط است که در 24 آوریل وصله شده بود.

آسیب‌پذیری CVE-2025-3935 یک نقص تزریق کد ViewState با شدت بالا است که به دلیل deserialization ناامن ViewState در ASP.NET در نسخه‌های 25.2.3 و قبل‌تر ScreenConnect ایجاد شده است. مهاجمان با دسترسی سطح سیستم ممتاز می‌توانند کلیدهای مخفی ماشین مورد استفاده توسط سرور ScreenConnect را بدزدند و از آنها برای ساخت بارهای مخرب استفاده کنند که باعث اجرای کد از راه دور در سرور می‌شود.

در حالی که ConnectWise اعلام نکرده که این آسیب‌پذیری در آن زمان مورد سوءاستفاده قرار گرفته است، اما با اولویت “بالا” علامت‌گذاری شده بود که نشان می‌دهد یا به طور فعال مورد سوءاستفاده قرار گرفته یا خطر قابل توجهی برای بهره‌برداری داشته است.

شرکت همچنین اعلام کرد که این نقص در پلتفرم‌های ScreenConnect میزبانی شده در ابر در “screenconnect.com” و “hostedrmm.com” قبل از افشای عمومی به مشتریان وصله شده بود.

از آنجایی که این نفوذ تنها نمونه‌های ScreenConnect میزبانی شده در ابر را تحت تأثیر قرار داده، احتمال دارد که مهاجمان ابتدا به سیستم‌های ConnectWise نفوذ کرده و کلیدهای ماشین را دزدیده باشند. با استفاده از این کلیدها، مهاجمان می‌توانستند اجرای کد از راه دور را در سرورهای ScreenConnect شرکت انجام دهند و احتمالاً به محیط‌های مشتریان دسترسی پیدا کنند.

مشتریانی که با رسانه‌ها صحبت کرده‌اند از کمبود شاخص‌های سازش (IOCs) و اطلاعات به اشتراک گذاشته شده توسط ConnectWise ناراضی هستند و اطلاعات کمی در مورد آنچه اتفاق افتاده در اختیار دارند.

سال گذشته، یک آسیب‌پذیری ScreenConnect با شناسه CVE-2024-1709 توسط باندهای باج‌افزار و یک گروه هکری APT کره شمالی برای اجرای بدافزار مورد سوءاستفاده قرار گرفت.