شرکت ConnectWise به مشتریان خود هشدار می‌دهد که در حال تغییر گواهی‌های امضای دیجیتال مورد استفاده برای امضای فایل‌های اجرایی ScreenConnect، ConnectWise Automate و ConnectWise RMM است. این اقدام به دلیل نگرانی‌های امنیتی صورت می‌گیرد.

گواهی‌های دیجیتال برای امضای فایل‌های اجرایی استفاده می‌شوند تا کاربران بدانند این فایل‌ها از منبع قابل اعتماد دریافت شده‌اند. این کار تضمین می‌کند که کد قبل از رسیدن به کاربر نهایی دستکاری نشده است.

بر اساس اعلام ConnectWise، این تصمیم پس از آن اتخاذ شد که یک محقق امنیتی شخص ثالث نگرانی‌هایی درباره نحوه سوءاستفاده مهاجمان از برخی داده‌های پیکربندی مطرح کرد.

در ایمیلی که توسط BleepingComputer مشاهده شده، آمده است: “ما در حال به‌روزرسانی گواهی‌های امضای دیجیتال مورد استفاده در ConnectWise ScreenConnect، Automate و RMM هستیم. این اقدام به دلیل نگرانی‌های مطرح شده توسط یک محقق شخص ثالث درباره احتمال سوءاستفاده از ScreenConnect توسط مهاجمان است.”

این سوءاستفاده احتمالی مربوط به مشکلی در مدیریت پیکربندی نصب‌کننده ScreenConnect است که نیاز به دسترسی در سطح سیستم دارد.

ConnectWise تأکید می‌کند که این اقدام هیچ ارتباطی با حوادث امنیتی ندارد، به‌ویژه با حمله سایبری دولتی که ماه گذشته متحمل شد.

شرکت در بیانیه‌ای در وب‌سایت خود توضیح می‌دهد: “علاوه بر صدور گواهی‌های جدید، ما در حال انتشار به‌روزرسانی برای بهبود نحوه مدیریت این داده‌های پیکربندی در ScreenConnect هستیم.”

گواهی‌های مورد نظر توسط DigiCert صادر شده‌اند که ابتدا قرار بود گواهی‌های ConnectWise را در سه‌شنبه 10 ژوئن ساعت 10 شب به وقت شرقی باطل کند. اما ConnectWise توانست مهلت را تا جمعه 13 ژوئن 2025 ساعت 8 شب به وقت شرقی تمدید کند، احتمالاً به این دلیل که نسخه جدید ScreenConnect 25.4 که از گواهی‌های جدید استفاده می‌کند، هنوز آماده نبود.

این اقدام بر کاربران محلی و ابری تأثیر خواهد گذاشت که باید قبل از مهلت تعیین شده اقدام کنند تا از اختلال در عملیات جلوگیری شود.

ConnectWise می‌گوید نسخه Automate در حال حاضر منتشر شده و نسخه ScreenConnect به زودی آماده خواهد شد. به کاربران توصیه می‌شود برای دانلود نسخه‌های به‌روزرسانی شده و دریافت دستورالعمل‌ها به صفحه University شرکت مراجعه کنند.

کاربرانی که از نسخه‌های میزبانی ابری Automate، ScreenConnect یا RMM استفاده می‌کنند، به‌طور خودکار به‌روزرسانی‌های گواهی‌ها و عامل‌ها را دریافت خواهند کرد، اما این فرآیند به تدریج انجام می‌شود. این کاربران همچنان باید قبل از 13 ژوئن بررسی کنند که عامل‌های آنها به‌روز هستند.

در حالی که ConnectWise جزئیاتی درباره دلیل تغییر گواهی‌ها ارائه نداد، اندرو برانت، محقق Sophos، در آوریل هشدار داد که مهاجمان از سایت‌های فیشینگ برای توزیع کلاینت‌های از پیش پیکربندی شده ConnectWise که به عنوان اظهارنامه‌های تأمین اجتماعی جا زده شده بودند، استفاده می‌کنند.

برانت در Mastodon توضیح داد: “یک اسپمر در حال توزیع برنامه دسترسی از راه دور تجاری ConnectWise به عنوان محموله در کلاهبرداری است که از دریافت ادعایی اظهارنامه تأمین اجتماعی ایالات متحده به عنوان طعمه استفاده می‌کند.”

حتی اگر این نصب‌کننده‌ها با سرور مهاجمان پیکربندی شده بودند، همچنان به صورت دیجیتال امضا شده نشان داده می‌شدند که اعتماد بیشتری به فایل اجرایی می‌افزود.

مشخص نیست که آیا حملاتی مانند این منجر به تغییر گواهی‌های امضای کد شده است یا خیر. BleepingComputer با ConnectWise تماس گرفت تا بپرسد آیا این موضوع مرتبط است و اطلاعات بیشتری درباره دلیل تغییر گواهی‌ها کسب کند، اما فقط به بیانیه رسمی ارجاع داده شد.