Der in Florida ansässige IT-Dienstleister ConnectWise hat einen Sicherheitsvorfall bestätigt, bei dem vermutlich staatliche Akteure in die Unternehmensumgebung eingedrungen sind. Das Unternehmen teilte mit, dass "verdächtige Aktivitäten" entdeckt wurden, die mit einem "hochentwickelten nationalstaatlichen Akteur" in Verbindung stehen. Betroffen waren nach Unternehmensangaben nur eine sehr kleine Anzahl von Kunden der Remote-Access-Software ScreenConnect. ConnectWise bietet IT-Management-, RMM- und Cybersicherheitslösungen für Managed Service Provider und IT-Abteilungen an.

Forensische Untersuchung auf Hochtouren

Zur Aufklärung des Vorfalls hat ConnectWise die Forensik-Firma Mandiant beauftragt. Alle betroffenen Kunden wurden kontaktiert und die Strafverfolgungsbehörden eingeschaltet. Das Unternehmen implementierte bereits verstärkte Überwachungsmaßnahmen und härtete die Sicherheit in der gesamten Netzwerkumgebung. Weitere verdächtige Aktivitäten in Kundeninstanzen wurden seitdem nicht mehr beobachtet.

Laut einem Bericht auf BleepingComputer soll der Angriff bereits im August 2024 stattgefunden haben, während ConnectWise die verdächtigen Aktivitäten erst im Mai 2025 entdeckte. Betroffen waren ausschließlich cloudbasierte ScreenConnect-Instanzen. Jason Slagle, Präsident des Managed Service Providers CNWR, bestätigte gegenüber BleepingComputer, dass nur sehr wenige Kunden betroffen waren - ein Hinweis auf einen gezielten Angriff gegen spezifische Organisationen.

Schwachstelle als mögliches Einfallstor

In Community-Diskussionen bringen Kunden den Vorfall mit der ScreenConnect-Schwachstelle CVE-2025-3935 in Verbindung, die am 24. April gepatcht wurde. Diese als "hoch" eingestufte Sicherheitslücke ermöglicht Code-Injection durch unsichere Deserialisierung von ASP.NET ViewState in ScreenConnect-Versionen 25.2.3 und früher. Angreifer mit privilegiertem Systemzugriff können die geheimen Machine Keys eines ScreenConnect-Servers stehlen und damit bösartige Payloads erstellen, die Remote Code Execution ermöglichen.

ConnectWise hat nicht bestätigt, ob diese Schwachstelle tatsächlich ausgenutzt wurde. Da nur cloud-gehostete Instanzen betroffen waren, ist es möglich, dass die Angreifer zunächst in ConnectWise-Systeme eindrangen und die Machine Keys stahlen. Mit diesen Schlüsseln könnten sie dann Remote Code Execution auf den ScreenConnect-Servern durchgeführt und potentiell auf Kundenumgebungen zugegriffen haben.

Kunden kritisieren den Mangel an Indicators of Compromise und detaillierten Informationen seitens ConnectWise, was sie mit wenig konkreten Erkenntnissen über den tatsächlichen Ablauf des Angriffs zurücklässt.