Zevenhonderd ScreenConnect-servers missen belangrijke update

[Captain Kirk]

Zo'n zevenhonderd ScreenConnect-servers die vanaf internet toegankelijk zijn, waaronder zeventien in Nederland, missen een belangrijke beveiligingsupdate en lopen daardoor het risico te worden aangevallen. ConnectWise, het bedrijf achter ScreenConnect, had klanten opgeroepen om de patch die op 24 april uitkwam zo snel mogelijk te installeren. Daarbij werd 'binnen een aantal dagen' als voorbeeld gegeven.

Kwetsbaarheden in ScreenConnect zijn in het verleden bij grootschalige aanvallen gebruikt, onder andere voor de verspreiding van ransomware. ScreenConnect is software om systemen op afstand mee te beheren en monitoren. Managed serviceproviders (MSP's) maken er gebruik van om de systemen van hun klanten te beheren. Door een ScreenConnect-server te compromitteren wordt het zo mogelijk om bij allerlei organisaties ransomware uit te rollen.

Een 'ViewState code injection-aanval' maakt het mogelijk voor een aanvaller om code op de server uit te voeren. Voorwaarde is wel dat een aanvaller toegang tot de machine keys moet zien te krijgen, wat systeemtoegang met de benodigde rechten vereist. De impact van de kwetsbaarheid (CVE-2025-3935) is op een schaal van 1 tot en met 10 beoordeeld met een 8.1. Het gaat dan ook niet om een kritiek beveiligingslek.

ConnectWise heeft de update toch de hoogste prioriteit gegeven, wat wordt gedaan voor kwetsbaarheden waarvan misbruik plaatsvindt of het risico lopen om te worden misbruikt, en roept klanten op de patch zo snel mogelijk te installeren. The Shadowserver Foundation, een stichting die zich bezighoudt met de bestrijding van cybercrime en geregeld onderzoek doet naar kwetsbare online systemen, detecteerde zo'n zevenhonderd ScreenConnect-servers die de update missen. Daarvan staan er zeventien in Nederland.

 

bron: https://www.security.nl