Krytyczna luka w ScreenConnect może prowadzić do przejęcia serwera
Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) wystosowała ostrzeżenie do instytucji federalnych i prywatnych użytkowników technologii ConnectWise ScreenConnect, informując o aktywnym wykorzystywaniu przez cyberprzestępców groźnej luki oznaczonej jako CVE-2025-3935. Błąd, który dotyczy mechanizmu uwierzytelniania, został załatany dopiero pod koniec kwietnia. Wcześniej umożliwiał osobom nieuprawnionym przejęcie kontroli nad serwerem poprzez zdalne wykonanie złośliwego kodu. Problem związany był z mechanizmem ViewState w technologii ASP.NET, który odpowiada za utrzymywanie stanu formularzy internetowych. W standardowym scenariuszu dane te są zabezpieczone kluczami maszynowymi. Jeśli jednak osoba atakująca zdobędzie dostęp do tych kluczy, może wykorzystać tę funkcjonalność do uruchamiania własnych ładunków bez wiedzy administratora. ConnectWise przyznało, że rzeczywiście doszło do naruszeń, choć firma twierdzi, że incydent dotyczył „bardzo małej liczby klientów ScreenConnect”. Nie przedstawiono jednak konkretnych informacji na temat źródła ataku ani tego, czy ma on związek z trwającymi działaniami sponsorowanymi przez państwa trzecie. Mimo to, specjaliści ds. cyberbezpieczeństwa łączą podatność z incydentami z ostatnich tygodni, w których hakerzy zdobywali uprzywilejowany dostęp do systemów klientów tej platformy.
Routery ASUS i Craft CMS również w ogniu krytyki
CISA zwraca także uwagę na inne, równie poważne zagrożenia, które odnotowano w routerach ASUS oraz w popularnym systemie zarządzania treścią Craft CMS. Dwa z czterech błędów uznano za krytyczne, a ich wykorzystanie przez hakerów zostało już potwierdzone w rzeczywistych atakach. Najpoważniejszą z nich jest luka CVE-2021-32030, dotycząca modeli routerów GT-AC2900 i Lyra Mini, która pozwala na całkowite ominięcie mechanizmów uwierzytelniania. To oznacza, że osoba nieuprawniona może uzyskać dostęp administracyjny bez podawania hasła, co otwiera drogę do pełnego przejęcia kontroli nad urządzeniem.
W innym przypadku – CVE-2023-39780 – błąd dotyczy modelu ASUS RT-AX55 i wymaga co prawda zalogowania, ale umożliwia wstrzyknięcie komend systemowych, co czyni go atrakcyjnym celem dla bardziej zaawansowanych atakujących. CISA podkreśla, że ten właśnie model routera był w ostatnich miesiącach wykorzystywany przez dobrze zorganizowaną grupę cyberprzestępców do tworzenia botnetu o nazwie AyySSHush, który może być wykorzystywany do zmasowanych ataków DDoS oraz rozprzestrzeniania dalszych infekcji. Niepokojące są również informacje dotyczące Craft CMS, platformy wykorzystywanej przez wiele serwisów internetowych. Dwie luki – oznaczone jako CVE-2024-56145 i CVE-2025-35939 – umożliwiają wstrzykiwanie złośliwego kodu oraz przesyłanie plików PHP do publicznie znanych lokalizacji na serwerze. Choć jedna z nich oceniana jest jako średniej ważności, może być szczególnie niebezpieczna, jeśli zostanie połączona z innymi technikami omijania zabezpieczeń.
Wszystkie pięć problemów trafiło już do oficjalnego Katalogu Znanych Luk w Zabezpieczeniach (KEV) prowadzonego przez CISA. Agencja wzywa wszystkie podmioty publiczne w Stanach Zjednoczonych do natychmiastowego wdrożenia poprawek lub wyłączenia podatnych systemów najpóźniej do 23 czerwca. W przeciwnym razie mogą one zostać uznane za niespełniające federalnych wymagań bezpieczeństwa.
