شرکت ConnectWise اعلام کرده که قصد دارد گواهی‌های امضای دیجیتال مورد استفاده برای امضای فایل‌های اجرایی ScreenConnect، ConnectWise Automate و سیستم مدیریت و نظارت از راه دور (RMM) خود را به دلیل نگرانی‌های امنیتی تغییر دهد.

این شرکت دلیل این اقدام را نگرانی‌های مطرح شده توسط یک محقق امنیتی درباره نحوه مدیریت داده‌های پیکربندی در نسخه‌های قبلی ScreenConnect عنوان کرده است. اگرچه جزئیات دقیق مشکل به صورت عمومی منتشر نشده، اما در یک سند پرسش و پاسخ غیرعمومی که فقط برای مشتریان قابل دسترسی بوده و بعداً در Reddit منتشر شده، توضیحات بیشتری ارائه شده است.

مشکل از این ناشی می‌شود که ScreenConnect از قابلیت ذخیره داده‌های پیکربندی در بخشی از نصب‌کننده استفاده می‌کند که امضا نشده اما بخشی از فایل نصب محسوب می‌شود. این شرکت از این قابلیت برای انتقال اطلاعات پیکربندی مانند آدرس URL که عامل باید به آن متصل شود، بدون باطل کردن امضای دیجیتال استفاده می‌کند. این بخش امضا نشده برای سفارشی‌سازی توسط نرم‌افزار ConnectWise و سایر نرم‌افزارها استفاده می‌شود، اما وقتی با قابلیت‌های یک راه‌حل کنترل از راه دور ترکیب شود، می‌تواند بر اساس استانداردهای امنیتی امروز، یک الگوی طراحی ناامن ایجاد کند.

علاوه بر صدور گواهی‌های جدید، شرکت اعلام کرده که در حال انتشار به‌روزرسانی جدیدی است که برای بهبود نحوه مدیریت داده‌های پیکربندی در ScreenConnect طراحی شده است. انتظار می‌رود ابطال گواهی‌های دیجیتال تا ۱۳ ژوئن ساعت ۸ شب به وقت شرقی انجام شود.

ConnectWise تأکید کرده که این مسئله شامل نفوذ به سیستم‌ها یا گواهی‌های آن‌ها نمی‌شود. شرکت در حال حاضر در حال به‌روزرسانی خودکار گواهی‌ها و عامل‌ها در تمام نمونه‌های ابری Automate و RMM است. با این حال، کاربرانی که از نسخه‌های محلی ScreenConnect یا Automate استفاده می‌کنند، باید به آخرین نسخه به‌روزرسانی کنند و اطمینان حاصل کنند که تمام عامل‌ها قبل از تاریخ مقرر به‌روزرسانی شده‌اند تا از اختلال احتمالی در خدمات جلوگیری شود.

این شرکت اعلام کرده: “ما قبلاً برنامه‌هایی برای بهبود مدیریت گواهی‌ها و افزایش امنیت محصول داشتیم، اما اکنون این تلاش‌ها با سرعت بیشتری در حال اجرا هستند. ما می‌دانیم که این موضوع ممکن است چالش‌هایی ایجاد کند و متعهد به پشتیبانی از شما در این دوره انتقال هستیم.”

این اتفاق تنها چند روز پس از آن رخ می‌دهد که شرکت اعلام کرد یک بازیگر تهدید احتمالاً دولتی با سوءاستفاده از آسیب‌پذیری CVE-2025-3935 به سیستم‌های آن نفوذ کرده و با انجام حملات تزریق کد ViewState، تعداد کمی از مشتریان را تحت تأثیر قرار داده است.

همچنین مهاجمان به طور فزاینده‌ای از نرم‌افزارهای مدیریت از راه دور قانونی مانند ScreenConnect برای دستیابی به دسترسی مخفیانه و پایدار از راه دور استفاده می‌کنند. این روش به آن‌ها اجازه می‌دهد با فعالیت‌های عادی ترکیب شوند و از رادار امنیتی دور بمانند. این روش حمله که “زندگی از روی زمین” نامیده می‌شود، امکان سوءاستفاده از قابلیت‌های ذاتی نرم‌افزار برای دسترسی از راه دور، انتقال فایل و اجرای دستورات را فراهم می‌کند.