Connectwise libera un parche de seguridad de emergencia para el software de acceso remoto de screenconnect para abordar una vulnerabilidad grave que permite a los atacantes ejecutar código malicioso en los sistemas afectados.
Una vulnerabilidad identificada como CVE-2025-3935 y rastreada por CWE-287 (autenticación inapropiada) afecta a todas las versiones de ScreenConnect hasta 25.2.3.
Los investigadores de seguridad encontraron que antes de ScreenConnect versión 25.2.3, los ataques de inyección de código eran más fáciles de ver y obtenían una puntuación CVSS de alta gravedad de 8.1.
Esta vulnerabilidad explota los mecanismos utilizados por los formularios web ASP.NET para manejar los mecanismos de ViewState -State -A y mantener las páginas y el estado de control entre las solicitudes del servidor.
Los datos de ViewState generalmente se codifican usando Base64 y protegidos por una clave de máquina. Sin embargo, si estas claves de la máquina se comprometen a través de acceso privilegiado a nivel de sistema, un atacante podría crear y enviar datos de ViewState maliciosos a un sitio web de capas vulnerable, logrando la ejecución del código remoto en el servidor.
“Es importante comprender que este problema puede afectar los productos utilizando los estados ASP.NET Framework. Screenconnect no es un caso atípico”, dijo Connectwise en el boletín de seguridad.
La Compañía asigna a la vulnerabilidad una calificación de prioridad 1 (alta), lo que indica que se dirige activamente o con un alto riesgo de explotación.
Esta vulnerabilidad sigue el patrón de ataques de inyección de código ViewState que Microsoft advirtió en febrero de 2025. Según Microsoft Amenazing Intelligence, el atacante está desplegando el malware utilizando claves de máquina ASP.NET estáticas que se encuentran en el repositorio y los documentos públicos.
“Microsoft ha identificado más de 3.000 claves públicas que pueden usarse para este tipo de ataques”, dicen los investigadores de seguridad que rastrean el problema.
A diferencia de los ataques anteriores que se basaban en claves robadas en foros web oscuros, estas claves públicas representan un mayor riesgo debido a la disponibilidad de múltiples repositorios de código.
Connectwise lanzado Screenconnect versión 25.2.4 el 24 de abril de 2025. Esto aborda la vulnerabilidad al deshabilitar y depender de ViewState.
Para los usuarios basados en la nube de la plataforma “screenconnect.com” (independiente e automatización/integrada con RMM) o para socios de automatización de “HostedRMM.com”, no se requiere ninguna acción ya que estos servidores ya se han actualizado para solucionar el problema.
Sin embargo, los usuarios locales deben tomar medidas inmediatas.
Vaya a la página de administración/licencia y expanda la casilla de verificación de la versión. Si actualmente se ejecuta antes del 25.2.3, instale la última versión 25.2.4. Los usuarios con una licencia de mantenimiento caducada deben actualizarse antes de actualizar o usar los parches de seguridad gratuitos disponibles para la versión anterior de su elección.
Connectwise aconseja a todos los socios locales que evalúen el sistema para detectar signos de compromiso antes de devolverlos en línea, ya sea que parcen sus servidores o no.
Si se sospecha un compromiso, recomendamos después de los procedimientos establecidos de respuesta a incidentes, incluido el aislamiento de los servidores afectados y la creación de copias de seguridad para el análisis.
Esta vulnerabilidad sigue fallas anteriores de Connect Critical Connect desde febrero de 2024 (CVE-2024-1709 y CVE-2024-1708), y ha sido explotado activamente por actores de amenazas, incluidos grupos de ransomware.
Esta nueva vulnerabilidad funciona de manera diferente, pero destaca los desafíos de seguridad continuos que enfrentan el software de acceso remoto en entornos de trabajo cada vez más distribuidos.
Las organizaciones que usan Screenconnect se recomiendan altamente implementar versiones parcheadas de inmediato para proteger su infraestructura de la posible explotación.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
