ConnectWise ha rivelato che la pianificazione di ruotare i certificati di firma del codice digitale utilizzati per firmare eseguibili di monitoraggio e gestione remoto (RMM) a causa di problemi di sicurezza.
La compagnia disse Lo sta facendo “a causa delle preoccupazioni sollevate da un ricercatore di terze parti su come ScreenConnect ha gestito alcuni dati di configurazione nelle versioni precedenti”.
Mentre la società non ha elaborato pubblicamente la natura del problema, ha fatto più luce in una FAQ non pubblica accessibile solo ai suoi clienti (e successivamente condiviso su Reddit) –
La preoccupazione deriva da ScreenConnect utilizzando la possibilità di archiviare i dati di configurazione in un’space disponibile del programma di installazione che non è firmata ma fa parte dell’installatore. Stiamo usando questa capacità di trasmettere informazioni di configurazione per la connessione (tra l’agente e il server) come l’URL in cui l’agente dovrebbe richiamare senza invalidare la firma. L’space non firmata viene utilizzata dal nostro software program e altri per la personalizzazione, tuttavia, se abbinata alle capacità di una soluzione di telecomando, potrebbe creare un modello di progettazione insicuro dagli normal di sicurezza di oggi.
Oltre a emettere nuovi certificati, la società ha affermato che sta rilasciando un aggiornamento progettato per migliorare il modo in cui i dati di configurazione di cui sopra sono gestiti in ScreenConnect.
La revoca dei certificati digitali dovrebbe avvenire entro il 13 giugno alle 20:00 ET (14 giugno, 12:00 UTC). ConnectWise ha sottolineato che il problema non comporta un compromesso dei suoi sistemi o certificati.
Vale la pena notare che automaticamente ConnectWise è già in procinto di aggiornare i certificati e gli agenti in tutte le sue istanze cloud di Automate e RMM.
Tuttavia, quelli che utilizzano versioni on-premise di screenConnect o automatizzano sono necessari per aggiornare l’ultima construct e convalidare che tutti gli agenti vengono aggiornati prima della knowledge di taglio per evitare eventuali interruzioni del servizio.
“Avevamo già programmato miglioramenti alla gestione dei certificati e all’indurimento del prodotto, ma questi sforzi sono ora attuati su una sequenza temporale accelerata”, ha affermato Connectwise. Comprendiamo che ciò può creare sfide e si impegnano a supportarti durante la transizione “.
Lo sviluppo arriva semplicemente giorni dopo l’azienda divulgato Che un sospetto attore di minaccia dello stato-nazione ha violato i suoi sistemi e ha influenzato un piccolo numero di clienti sfruttando CVE-2025-3935 per condurre attacchi di iniezione del codice ViewState.
Viene anche in quanto gli aggressori fanno sempre più affidamento su software program RMM legittimo come ScreenConnect e altri Ottieni un accesso remoto furtivo e persistentepermettendo efficacemente loro di fondersi con l’attività normale e volare sotto il radar.
Questa metodologia di attacco, chiamata Residing-Off-the-Land (LOTL), consente di dirottare le capacità intrinseche del software program per l’accesso remoto, il trasferimento di file e l’esecuzione del comando.
