ConnectWise: Κρατικοί hackers πίσω από την κυβερνοεπίθεση;

secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More

ConnectWise: Κρατικοί hackers πίσω από την κυβερνοεπίθεση;
https://www.secnews.gr/649724/connectwise-kratikoi-hackers-piso-apo-kibernoepithesi/
May 30th 2025, 12:20
by Digital Fortress

Η ConnectWise, γνωστή εταιρεία στον κλάδο του IT management software, ανακοίνωσε ότι έχει δεχθεί στοχευμένη κυβερνοεπίθεση, η οποία πιθανότατα συνδέεται με κρατικούς hackers και έχει περιορισμένο αντίκτυπο σε πελάτες του εργαλείου ScreenConnect.


Σε ανακοίνωσή της, η εταιρεία αναφέρει ότι ανίχνευσε ύποπτη δραστηριότητα στο περιβάλλον της, την οποία αποδίδει σε έναν «εξελιγμένο φορέα με πιθανή κρατική υποστήριξη». Για την αντιμετώπιση του περιστατικού, η ConnectWise έχει ξεκινήσει συνεργασία με την εταιρεία κυβερνοασφάλειας Mandiant, ενώ παράλληλα βρίσκεται σε επαφή με τις αρμόδιες αρχές και έχει ήδη ειδοποιήσει όλους τους επηρεαζόμενους πελάτες.
Στο επίκεντρο το ScreenConnect – Ενισχύονται τα μέτρα ασφαλείας
Το ScreenConnect, ένα από τα βασικά προϊόντα της εταιρείας, προσφέρει απομακρυσμένη πρόσβαση και τεχνική υποστήριξη, επιτρέποντας στους IT επαγγελματίες να χειρίζονται συστήματα πελατών, εξ αποστάσεως, για επιδιορθώσεις και συντήρηση.
Δείτε επίσης: Χάκερ εκμεταλλεύονται κορυφαία domain για κυβερνοεπιθέσεις
Σύμφωνα με πληροφορίες του CRN, η εταιρεία έχει ήδη προχωρήσει σε βελτίωση της παρακολούθησης ασφαλείας και ενίσχυση των συστημάτων προστασίας σε ολόκληρο το δίκτυό της. Η ConnectWise διευκρινίζει ότι δεν έχει εντοπιστεί περαιτέρω ύποπτη δραστηριότητα σε λογαριασμούς ScreenConnect πελατών μετά την αρχική παραβίαση.
Ωστόσο, ερωτήματα παραμένουν αναπάντητα, καθώς η εταιρεία δεν έχει αποκαλύψει τον ακριβή αριθμό των επηρεαζόμενων πελατών, ούτε το χρονικό πλαίσιο της παραβίασης, ενώ δεν έχει επιβεβαιώσει αν υπήρξε κακόβουλη χρήση σε συστήματα πελατών.
Παρά την απουσία λεπτομερειών, μια πηγή φέρεται να είπε στο BleepingComputer ότι η παραβίαση σημειώθηκε τον Αύγουστο του 2024, με την εταιρεία να εντοπίζει την ύποπτη δραστηριότητα τον Μάιο του 2025. Σύμφωνα με την ίδια πηγή, επηρεάστηκαν αποκλειστικά περιπτώσεις του ScreenConnect που βασίζονται σε cloud.
Ο Jason Slagle, πρόεδρος του managed service provider CNWR, δήλωσε ότι η επίθεση ήταν εξαιρετικά στοχευμένη, επηρεάζοντας μόνο έναν πολύ μικρό αριθμό πελατών, γεγονός που ενισχύει την υπόθεση εμπλοκής ενός συγκεκριμένου φορέα απειλής με σαφώς επιλεγμένους στόχους.
Σοβαρή ευπάθεια πίσω από την κυβερνοεπίθεση στην ConnectWise;
Σύμφωνα με συζητήσεις πελατών στο Reddit, το περιστατικό ενδέχεται να σχετίζεται με την ευπάθεια CVE-2025-3935. Πρόκειται για ένα σοβαρό ViewState code injection bug, το οποίο διορθώθηκε στις 24 Απριλίου. Το συγκεκριμένο σφάλμα επηρεάζει τις εκδόσεις του ScreenConnect έως και την 25.2.3.
Δείτε επίσης: Η Τσεχία κατηγορεί Κινέζους hackers για επίθεση στο Υπουργείο Εξωτερικών
Η εκμετάλλευση της εν λόγω ευπάθειας μπορεί να επιτρέψει σε εισβολείς με πρόσβαση σε επίπεδο συστήματος να υποκλέψουν secret machine keys ενός ScreenConnect server και να τα χρησιμοποιήσουν για δημιουργία κακόβουλων payloads που επιτρέπουν απομακρυσμένη εκτέλεση κώδικα.


Αν και η ConnectWise δεν έχει επιβεβαιώσει δημοσίως ότι η ευπάθεια CVE-2025-3935 αξιοποιήθηκε στην κυβερνοεπίθεση, έχει χαρακτηρίσει το ελάττωμα ως υψηλής προτεραιότητας, κάτι που συνήθως σημαίνει ότι είτε υπήρξε ενεργή εκμετάλλευση είτε υπάρχει άμεσος κίνδυνος κατάχρησης.
Σύμφωνα με την εταιρεία, το πρόβλημα διορθώθηκε στις cloud πλατφόρμες του ScreenConnect, στα screenconnect.com και hostedrmm.com, πριν κοινοποιηθεί δημόσια στους πελάτες, κίνηση που ενδεχομένως αποσκοπούσε στον περιορισμό πιθανών επιθέσεων.
Εικασίες για τη μέθοδο παραβίασης
Καθώς το περιστατικό φαίνεται να επηρέασε αποκλειστικά cloud-hosted ScreenConnect instances, εικάζεται ότι οι φορείς απειλών απέκτησαν πρώτα πρόσβαση στα συστήματα της ίδιας της ConnectWise και έκλεψαν τα machine keys που χρησιμοποιούνται στους διακομιστές της.
Μέσω αυτών των κλειδιών, οι επιτιθέμενοι θα μπορούσαν να πραγματοποιήσουν απομακρυσμένη εκτέλεση κώδικα σε περιβάλλοντα του ScreenConnect, διεισδύοντας περαιτέρω και σε δεδομένα πελατών.
Παρά τα σενάρια αυτά, η ConnectWise δεν έχει επιβεβαιώσει δημόσια εάν οι παραβιάσεις των πελατών έγιναν μέσω αυτής της διαδρομής, διατηρώντας ένα πέπλο αβεβαιότητας γύρω από το ακριβές modus operandi των εισβολέων.
Δείτε επίσης: Victoria's Secret: Εκτός λειτουργίας το site λόγω κυβερνοεπίθεσης
Πελάτες εξέφρασαν την απογοήτευσή τους για την ελλιπή ενημέρωση, καθώς όπως δηλώνουν, η ConnectWise δεν έχει κοινοποιήσει δείκτες παραβίασης (IOCs) ή άλλα κρίσιμα τεχνικά δεδομένα που θα τους βοηθούσαν να εκτιμήσουν το εύρος του κινδύνου.
Προστασία από τέτοιου είδους απειλές
• Άμεση εφαρμογή όλων των διαθέσιμων ενημερώσεων(patches)
• Περιορισμός απομακρυσμένης πρόσβασης
• Περιορισμένη και διαβαθμισμένη πρόσβαση (least privilege)
• Ενεργοποίηση και επιβολή MFA (πολλαπλών παραγόντων ταυτοποίησης)
• Παρακολούθηση για δείκτες παραβίασης
• Λύσεις EDR/XDR & καταγραφή συμβάντων
• Διαχωρισμός περιβαλλόντων
• Επικοινωνία με προμηθευτές και ενημέρωση πολιτικών
Πηγή: www.bleepingcomputer.com



You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz