Один баг в ASP.NET — и в облако ConnectWise зашли чужие спецслужбы

Компания ConnectWise, разрабатывающая ПО для управления ИТ-инфраструктурой, сообщила о компрометации своей среды в результате, как утверждается, целенаправленной атаки, связанной с деятельностью иностранного государства. По данным компании, инцидент затронул лишь ограниченное количество пользователей облачного сервиса ScreenConnect , используемого для удалённого доступа и техподдержки.

В официальном уведомлении ConnectWise указала , что выявила «подозрительную активность», которую связывает с действиями «сложного атакующего уровня национального государства». Внутреннее расследование ведётся при участии команды сторонних специалистов. Пострадавшим клиентам уже направлены уведомления, также осуществляется взаимодействие с правоохранительными органами. Компания заявляет, что внедрила расширенный мониторинг и усилила безопасность во всей своей сети. ConnectWise также омтетила, что не наблюдала никакой подозрительной активности со стороны клиентов.

Компания не уточнила, сколько именно пользователей пострадало, когда именно произошёл взлом, и было ли зафиксировано вредоносное поведение в скомпрометированных экземплярах ScreenConnect. Однако источник сообщил, что атака произошла ещё в августе 2024 года, а сама ConnectWise обнаружила признаки взлома лишь в мае 2025-го. Уязвимость затронула исключительно облачные версии ScreenConnect, размещённые на доменах screenconnect.com и hostedrmm.com.

Связанные с инцидентом клиенты и участники обсуждений на Reddit отметили , что утечка может быть связана с уязвимостью CVE-2025-3935 . Эта ошибка, получившая высокий приоритет, связана с небезопасной десериализацией в механизме ASP.NET ViewState и позволяет выполнить произвольный код на сервере через подделку данных, если злоумышленнику удалось получить ключи машины (machine keys). Данная уязвимость была устранена 24 апреля 2025 года, причём исправления были внедрены на облачных платформах ещё до официального уведомления пользователей.

Хотя ConnectWise не подтвердила, что именно CVE-2025-3935 была использована в атаке, структура уязвимости позволяет предположить, что злоумышленники сначала получили доступ к внутренним системам компании и ключам шифрования, а затем применили их для выполнения кода на серверной стороне. Таким образом, потенциально была открыта возможность для проникновения в клиентские среды через управляемые облачные инстансы ScreenConnect.

Представитель компании CNWR сообщил, что пострадало крайне ограниченное число клиентов, что может свидетельствовать о целевой атаке. При этом недовольство пользователей вызвано тем, что ConnectWise не опубликовала индикаторы компрометации (IoC) и не предоставила подробностей, необходимых для оценки возможных последствий.

Стоит напомнить, что подобный инцидент произошёл и в 2024 году, когда уязвимость CVE-2024-1709 в ScreenConnect была использована вымогателями и группировкой из КНДР для внедрения вредоносного ПО. Несмотря на уроки прошлого, пользователи теперь вновь сталкиваются с дефицитом информации, что затрудняет своевременное реагирование и оценку рисков.

ConnectWise пока не уточнила информацию по поводу технических подробностей и масштаба инцидента.