La compañía de software de gestión de computadoras Connectwise dijo que un presunto ciberataque patrocinado por el estado ha violado su entorno y que ha tenido un impacto en un número limitado de clientes de captura de pantalla.
“Connectwise aprendió recientemente una actividad sospechosa en nuestro entorno que, en nuestra opinión, estaba vinculado a un actor sofisticado en el Estado Nacional, que asignó un número muy pequeño de clientes de captura de pantalla”, compartió Connectwise en un breve opinión.
“Hemos lanzado una encuesta a uno de los principales expertos médicos legales, Mandiant. Nos pusimos en contacto con todos los clientes afectados y coordinados con la policía”.
Connectwise es una compañía de software con sede en Florida que proporciona soluciones de administración de computadoras, RMM (vigilancia y administración remota), ciberseguridad y automatización para proveedores de servicios administrados (MSP) y servicios de TI.
Uno de sus productos es Screenconnect, una herramienta de acceso y soporte remotos que permite a los técnicos conectarse con seguridad completa a los sistemas de clientes para la resolución de problemas, la corrección y el mantenimiento del sistema.
Como se indica por primera vez por CRNLa compañía ahora afirma haber implementado una mejor vigilancia y seguridad endurecida en su red.
También declaran que no han visto ninguna otra actividad sospechosa en los cuerpos de los clientes.
Connectwise no ha respondido a las cuestiones de compras de Bleeping sobre el número de clientes afectados, cuando ocurrió la violación, o si se ha observado una actividad maliciosa en los cuerpos de los clientes de ScreenConect.
Sin embargo, una fuente dijo a Bleeping que la violación tuvo lugar en agosto de 2024, con Connectwise al descubrir la actividad supuestamente en mayo de 2025, y que solo afectó a los cuerpos de captura de pantalla basada en la nube. BleepingCompute no ha podido confirmar de forma independiente las fechas de violación.
Jason Slagle, presidente del proveedor de servicios administrados, CNWR, dijo que Bleeping completó que solo un número muy pequeño de clientes se había visto afectado, lo que sugiere que el actor de amenaza dirigió un ataque dirigido a organizaciones específicas.
En Alambre de redditLos clientes han compartido más detalles, lo que indica que el incidente está vinculado a una vulnerabilidad ScreenConnect seguida como CVE-2025-3935Corregido el 24 de abril.
El defecto CVE-2025-3935 es un dólar de inyección de código de alta gravedad de ViewState causado por la peligrosa desialización del ASP.NET ViewState en el screenconnect 25.2.3 y las versiones anteriores.
Los actores amenazantes con acceso al nivel del sistema privilegiado pueden robar las claves de la máquina secreta utilizadas por un servidor Screenconnect y usarlos para crear cargas maliciosas útiles que activen la ejecución del código remoto en el servidor.
Aunque Connectwise no indica que esta vulnerabilidad fue explotada en ese momento, se marcó como una prioridad “alta”, lo que indica que se explotó activamente o tenía un riesgo significativo de explotación.
La compañía también dijo que el defecto había sido corregido en sus plataformas ScreenConnect alojadas por la nube en “screenconnect.com” y “hostedrmm.com” antes de ser revelada públicamente a los clientes.
Como la violación solo tocó las instancias de desconexión alojadas por la nube, es posible que los actores de amenaza violaron por primera vez los sistemas Connectwise y robaron las claves de la máquina.
Usando estas claves, los atacantes pueden realizar una ejecución de código remoto en los servidores de pantalla de la compañía y potencialmente acceder a entornos de clientes.
Sin embargo, debe tenerse en cuenta que Connectwise no confirmó si era la forma en que se violaron los cuerpos del cliente.
Los clientes que hablaron con Bleeping Compompted están frustrados por la falta de indicadores de compromiso (CIO) y la información compartida por Connectwise, dejándoles poca información sobre lo que sucedió.
El año pasado, se siguió un screenconnect faille cuando CVE-2024-1709 fue operado por ransomware y un grupo de piratería del APT de Corea del Norte para ejecutar software malicioso.
BleepingCompute envió preguntas adicionales a Connectwise, pero no ha tenido un aplazamiento en este momento.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.