CVE-2025-3935

ConnectWise ScreenConnect

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-06-02

Официальное описание

ConnectWise ScreenConnect contains an improper authentication vulnerability. This vulnerability could allow a ViewState code injection attack, which could allow remote code execution if machine keys are compromised.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-3935 представляет собой критическую уязвимость в механизме аутентификации ConnectWise ScreenConnect. Проблема связана с некорректной обработкой параметров аутентификации, что открывает возможность для инъекции кода через ViewState.

Если злоумышленнику удастся скомпрометировать ключи компьютера (machine keys), он может внедрить вредоносный сериализованный объект в ViewState. Это приводит к удаленному выполнению произвольного кода (RCE) в контексте безопасности сервера ScreenConnect, что позволяет полностью захватить управление экземпляром приложения.

Как исправить

Основным и наиболее надежным способом устранения уязвимости является обновление экземпляра ScreenConnect до версии, в которой данная ошибка исправлена.

  1. Для облачных экземпляров (Cloud): Обновление применяется автоматически со стороны ConnectWise. Убедитесь, что ваша версия соответствует актуальной в панели управления.

  2. Для локальных экземпляров (On-Premise): Необходимо скачать последнюю версию установщика с официального сайта и запустить процесс обновления.

Для Windows (PowerShell):

Start-Process -FilePath "ScreenConnect_Installer.msi" -ArgumentList "/quiet" -Wait

Для Linux (Debian/Ubuntu):

dpkg -i ScreenConnect_Server_Latest.deb

Временные меры

Если немедленное обновление невозможно, необходимо принять меры по минимизации поверхности атаки и защите ключей конфигурации.

  1. Ротация Machine Keys: Сгенерируйте новые ключи в файле web.config, чтобы обесценить любые ранее скомпрометированные ключи, которые могли быть использованы для подготовки атаки.

  2. Ограничение доступа на сетевом уровне: Разрешите доступ к порту управления ScreenConnect (обычно 8040, 8041) только с доверенных IP-адресов администраторов.

  3. Мониторинг логов: Настройте алертинг на подозрительные POST-запросы к страницам аутентификации, содержащие аномально большие или некорректные данные ViewState.

  4. Изоляция сервера: Запустите службу ScreenConnect от имени учетной записи с минимальными привилегиями (Managed Service Account), чтобы ограничить радиус поражения в случае успешной эксплуатации RCE.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей