ConnectWise bị xâm phạm trong cuộc tấn công mạng liên quan đến tin tặc quốc gia

Công ty phần mềm quản lý công nghệ thông tin ConnectWise (Mỹ) mới đây cho biết, một cuộc tấn công mạng liên quan đến một tác nhân đe dọa được nhà nước tài trợ, đã xâm phạm vào hệ thống mạng của công ty, dẫn đến ảnh hưởng tới một số lượng hạn chế khách hàng của sản phẩm ScreenConnect.

ConnectWise là một công ty phần mềm có trụ sở tại Bang Florida - chuyên cung cấp các giải pháp quản lý công nghệ thông tin, RMM (giám sát và quản lý từ xa), an ninh mạng và tự động hóa cho các nhà cung cấp dịch vụ được quản lý (MSP).

Một trong những sản phẩm của công ty là ScreenConnect, đây là công cụ hỗ trợ và truy cập từ xa cho phép các quản trị viên kết nối an toàn với hệ thống của khách hàng nhằm khắc phục sự cố, vá lỗi và bảo trì hệ thống.

Theo báo cáo đầu tiên, công ty hiện cho biết họ đã triển khai hoạt động giám sát nâng cao và tăng cường bảo mật trên toàn mạng lưới của mình. ConnectWise cũng tuyên bố rằng họ không thấy bất kỳ hoạt động đáng ngờ nào khác trong các trường hợp của khách hàng, điều này cho thấy kẻ tấn công đã thực hiện một cuộc tấn công có chủ đích.

ConnectWise không tiết lộ về số lượng khách hàng bị ảnh hưởng, thời điểm xảy ra vi phạm hoặc liệu có bất kỳ hoạt động độc hại nào được phát hiện trong các phiên bản ScreenConnect của khách hàng hay không. Tuy nhiên, theo một nguồn tin từ trang tin BleepingComputer cho biết, vụ vi phạm xảy ra vào tháng 8/2024, ConnectWise phát hiện ra hoạt động đáng ngờ này vào tháng 5/2025 và nó chỉ ảnh hưởng đến các phiên bản ScreenConnect dựa trên đám mây.

Trong một chuỗi bài đăng trên Reddit, khách hàng đã chia sẻ thêm thông tin chi tiết, cho biết sự cố này có liên quan đến lỗ hổng ScreenConnect định danh CVE-2025-3935, đã được vá vào ngày 24/4. CVE-2025-3935 là lỗ hổng nghiêm trọng code injection xảy ra do quá trình hủy tuần tự hóa (Serialization) không an toàn của ASP.NET ViewState trong sản phẩm ScreenConnect phiên bản 25.2.3 trở về trước.

Những kẻ tấn công có quyền truy cập đặc quyền vào hệ thống có thể đánh cắp các khóa bí mật được máy chủ ScreenConnect sử dụng, sau đó sử dụng chúng để tạo ra các phần mềm độc hại kích hoạt thực thi mã từ xa trên máy chủ.

Mặc dù ConnectWise không tuyên bố rằng lỗ hổng này đã bị khai thác vào thời điểm đó, nhưng nó được đánh dấu là có mức độ ưu tiên cao, cho thấy nó đã bị khai thác tích cực hoặc có nguy cơ bị khai thác đáng kể. Công ty cũng tuyên bố rằng lỗ hổng đã được vá trên nền tảng ScreenConnect được lưu trữ trên đám mây tại “screenconnect[.]com” và “hostedrmm[.]com” trước khi công bố rộng rãi cho khách hàng.

Vì vi phạm chỉ ảnh hưởng đến các phiên bản ScreenConnect được lưu trữ trên đám mây, nên có khả năng kẻ tấn công đã xâm phạm hệ thống của ConnectWise trước và đánh cắp khóa trên máy chủ. Bằng cách sử dụng những khóa đó, kẻ tấn công có thể thực thi mã từ xa trên máy chủ ScreenConnect của công ty và có khả năng truy cập vào môi trường của khách hàng. Tuy nhiên, cần lưu ý rằng ConnectWise chưa xác nhận liệu đây có phải là cách dữ liệu của khách hàng bị xâm phạm hay không.

Năm 2024, lỗ hổng ScreenConnect được theo dõi là CVE-2024-1709 đã bị các tin tặc mã độc tống tiền và nhóm tin tặc APT của Triều Tiên khai thác để chạy phần mềm độc hại.