遠端存取和支援軟體ScreenConnect的開發商ConnectWise於近日披露遭到疑似由國家級威脅行為者發動的精密網路攻擊。這起攻擊影響了極少數的ScreenConnect客戶,但公司未透露確切的受影響客戶數量、攻擊發生的具體時間,以及威脅行為者的身份歸屬。
ConnectWise在簡短的安全公告中表示,公司最近發現環境中的可疑活動,相信這與一個複雜的國家級行為者有關。該公司已委託Google Mandiant進行鑑識調查,並已聯繫所有受影響的客戶,同時正與執法部門協調處理此事件。
CVE-2025-3935漏洞技術分析
經ConnectWise後續確認,此次攻擊與CVE-2025-3935漏洞直接相關。這個高危險等級漏洞的CVSS評分達到8.1分,存在於ScreenConnect 25.2.3及更早版本中,攻擊者可透過ViewState程式碼注入技術進行利用。該漏洞已在4月24日發布的ScreenConnect 25.2.4版本修補。
ViewState程式碼注入攻擊是利用公開披露的ASP.NET機器金鑰來進行的攻擊手法,這項技術在今年2月已被微軟公開披露為正被惡意行為者積極利用。ViewState是ASP.NET頁面框架中的一項功能,設計用於在ASP.NET Web Forms中保持頁面和控制項的狀態值,而ASP.NET機器金鑰則用於保護ViewState免受篡改和資料洩露。
當這些機器金鑰被暴露時,攻擊者便可以建立並發送惡意的ViewState到網站,進而可能導致伺服器上的遠端程式碼執行。
ConnectWise在修補程式中禁用了ViewState並移除了對其的所有依賴項目,該公司強調這個問題可能影響任何使用ASP.NET框架ViewState的產品,ScreenConnect並非個案。
ASP.NET機器金鑰暴露問題
微軟威脅情報在今年2月披露,已發現超過3,000個ASP.NET金鑰被公開暴露。微軟觀察到在去年12月期間出現的威脅活動,未知威脅行為者利用其中一個暴露的金鑰進行ViewState程式碼注入攻擊。
根據微軟的報告,這些攻擊被用於部署Godzilla後滲透框架。雖然微軟未將ViewState程式碼注入攻擊歸因於特定的行為者或組織,但Godzilla工具已被確認與中國相關的國家支持駭客組織有關聯。
相關文章:
微軟指認逾3000組外洩ASP.NET金鑰可能遭惡意程式碼注入攻擊
ConnectWise歷史安全事件
ConnectWise ScreenConnect在過去兩年中多次成為各類威脅行為者的攻擊目標。2024年初,ScreenConnect軟體中的安全漏洞CVE-2024-1708和CVE-2024-1709被網路犯罪和國家級威脅行為者廣泛利用,包括來自中國、北韓和俄羅斯的組織,用於投放各種惡意負載。
Google研究人員在2月報告指出,與
中國國家安全部相關的駭客利用CVE-2024-1709攻擊了數百家美國和加拿大的機構。
根據Mandiant的報告,同樣的漏洞在2024年期間被中國國家支持的駭客反覆利用,攻擊目標包括美國國防承包商、英國政府實體和亞洲的機構。安全專家稱這個漏洞為「災難性的」,因為其利用方式極為簡單。
微軟也觀察到與俄羅斯軍事情報74455部隊相關的Sandworm組織利用該漏洞進行攻擊。
託管服務提供商威脅
ScreenConnect作為遠端桌面存取和行動裝置支援的企業工具,廣泛被託管服務提供商(MSP)使用。MSP對網路犯罪分子和國家級行為者具有吸引力,因為它們可以作為發動其他企業攻擊的跳板。
相關文章:ConnectWise ScreenConnect軟體出現嚴重漏洞!MSP服務提供商應留意供應鏈攻擊可能
美國網路安全暨基礎設施安全局(CISA)先前曾警告,網路犯罪分子在攻擊至少兩個聯邦民間機構時使用了ScreenConnect版本。威脅行為者也越來越多地濫用合法的遠端管理工具進行「living off the land(寄生)」技術攻擊,例如前LockBit勒索軟體集團通常使用ScreenConnect等產品來遠端連接目標系統進行初始存取或橫向移動。
事件應變措施
ConnectWise建議所有ScreenConnect客戶,包括本地部署的ScreenConnect客戶,都應該修補系統,即使未在維護合約範圍內也應進行修補。
ConnectWise成立於佛羅里達州,在2019年被Thoma Bravo收購。調查仍在進行中,該公司表示正密切監控情況發展。