آژانس امنیت زیرساختها و امنیت سایبری آمریکا (CISA) به سازمانهای فدرال در مورد بهرهبرداری فعال هکرها از یک آسیبپذیری تازه وصله شده در ScreenConnect هشدار داده است. این آسیبپذیری میتواند منجر به اجرای کد از راه دور بر روی سرور شود.
آسیبپذیری احراز هویت نادرست در ConnectWise ScreenConnect
در تاریخ ۲۴ آوریل، شرکت ConnectWise مشکل امنیتی با شناسه CVE-2025-3935 را برطرف کرد. این آسیبپذیری میتواند برای حمله تزریق کد ViewState مورد سوءاستفاده قرار گیرد.
فرمهای وب ASP.NET برای حفظ وضعیت صفحه و کنترلها از کامپوننت ViewState استفاده میکنند که از دادههای رمزگذاری شده base64 استفاده کرده و توسط کلیدهای ماشین محافظت میشود. اگر مهاجمی با دسترسی ممتاز بتواند کلیدهای ماشین را به خطر بیندازد، میتواند از طریق بارهای مخرب، اجرای کد از راه دور را بر روی سرور فعال کند.
پس از نفوذ اخیر به ConnectWise که گمان میرود یک عملیات حمایت شده توسط دولت باشد، برخی مشتریان گفتهاند که این حادثه ممکن است به CVE-2025-3935 مرتبط باشد. با این حال، ConnectWise در مورد روش حمله یا ماهیت نفوذ اظهار نظری نکرده است.
گزارشهای متعدد حاکی از آن است که ConnectWise تعداد بسیار کمی از مشتریان ScreenConnect را تحت تأثیر قرار گرفته یافته است.
باگهای بحرانی در ASUS و Craft CMS
CISA همچنین از بهرهبرداری بازیگران تهدید از چهار آسیبپذیری دیگر خبر داده است که دو مورد از آنها بحرانی هستند:
CVE-2021-32030 (امتیاز شدت بحرانی ۹.۸): امکان دور زدن احراز هویت در دستگاههای ASUS GT-AC2900 و Lyra Mini را فراهم میکند.
CVE-2023-39780 (امتیاز شدت بالا ۸.۸): تزریق سیستم عامل در ASUS RT-AX55 که نیاز به احراز هویت دارد.
CVE-2024-56145 (امتیاز شدت بحرانی ۹.۳): تزریق کد در Craft CMS که میتواند تحت شرایط خاصی منجر به اجرای کد از راه دور شود.
CVE-2025-35939 (امتیاز شدت متوسط ۶.۹): یک کلاینت بدون احراز هویت میتواند کد PHP را به مکانهای فایل شناخته شده بر روی سرور Craft CMS معرفی کند.
آسیبپذیری مربوط به دستگاههای ASUS RT-AX55 طی ماههای گذشته در حملات مخفیانهای مورد بهرهبرداری قرار گرفته که به نظر میرسد توسط یک مهاجم با منابع خوب و توانایی بالا انجام شده است.
در گزارشی که هفته گذشته منتشر شد، پلتفرم امنیت سایبری GreyNoise میگوید که هکرها آسیبپذیری CVE-2023-39780 را با تکنیکهای دور زدن احراز هویت که CVE اختصاص داده نشده ترکیب کردهاند تا یک باتنت به نام AyySSHush تشکیل دهند.
CISA این پنج مشکل امنیتی را به کاتالوگ آسیبپذیریهای شناخته شده مورد بهرهبرداری (KEV) خود اضافه کرده و انتظار دارد سازمانهای فدرال تا ۲۳ ژوئن اقدامات کاهشی توصیه شده توسط فروشنده را اجرا کنند یا از استفاده از محصولات آسیبدیده دست بکشند.
کلمات کلیدی : آژانس امنیت سایبری آمریکا, آسیبپذیری ScreenConnect, روترهای ASUS, سیستم مدیریت محتوای Craft, اجرای کد از راه دور, CVE-2025-3935
نظر شما چیست؟
خوشحال میشویم نظر شما را بدانیم. نظری بنویسید.