Nieuws
image

Zevenhonderd ScreenConnect-servers missen belangrijke update

vrijdag 9 mei 2025, 15:34 door Redactie, 2 reacties

Zo'n zevenhonderd ScreenConnect-servers die vanaf internet toegankelijk zijn, waaronder zeventien in Nederland, missen een belangrijke beveiligingsupdate en lopen daardoor het risico te worden aangevallen. ConnectWise, het bedrijf achter ScreenConnect, had klanten opgeroepen om de patch die op 24 april uitkwam zo snel mogelijk te installeren. Daarbij werd 'binnen een aantal dagen' als voorbeeld gegeven.

Kwetsbaarheden in ScreenConnect zijn in het verleden bij grootschalige aanvallen gebruikt, onder andere voor de verspreiding van ransomware. ScreenConnect is software om systemen op afstand mee te beheren en monitoren. Managed serviceproviders (MSP's) maken er gebruik van om de systemen van hun klanten te beheren. Door een ScreenConnect-server te compromitteren wordt het zo mogelijk om bij allerlei organisaties ransomware uit te rollen.

Een 'ViewState code injection-aanval' maakt het mogelijk voor een aanvaller om code op de server uit te voeren. Voorwaarde is wel dat een aanvaller toegang tot de machine keys moet zien te krijgen, wat systeemtoegang met de benodigde rechten vereist. De impact van de kwetsbaarheid (CVE-2025-3935) is op een schaal van 1 tot en met 10 beoordeeld met een 8.1. Het gaat dan ook niet om een kritiek beveiligingslek.

ConnectWise heeft de update toch de hoogste prioriteit gegeven, wat wordt gedaan voor kwetsbaarheden waarvan misbruik plaatsvindt of het risico lopen om te worden misbruikt, en roept klanten op de patch zo snel mogelijk te installeren. The Shadowserver Foundation, een stichting die zich bezighoudt met de bestrijding van cybercrime en geregeld onderzoek doet naar kwetsbare online systemen, detecteerde zo'n zevenhonderd ScreenConnect-servers die de update missen. Daarvan staan er zeventien in Nederland.

Reacties (2)
Reageer met quote
Gisteren, 16:44 door Anoniem
De urgentie van deze beveiligingsupdate ontgaat mij. Een voorwaarde is om Administrator rechten te hebben op de webserver. In feite ben je er dan al en kan je je afvragen welke aanvullende rechten misbruik van deze kwetsbaarheid je nog zou geven. Het oogt als een technisch probleem wat een keer opgelost moest worden, maar om daar nu zo'n CVE en urgentie aan te geven lijkt mij onterecht.
Reageer met quote
Gisteren, 19:33 door JaDatIsPeter
Voorwaarde is wel dat een aanvaller toegang tot de machine keys moet zien te krijgen, wat systeemtoegang met de benodigde rechten vereist.
Een voorwaarde is om Administrator rechten te hebben op de webserver.
Dat is één manier, maar je kan die keys ook vinden: "Microsoft’s investigation revealed that more than 3,000 machine keys have been publicly disclosed through repositories and other online sources."

https://redmondmag.com/Articles/2025/02/07/Microsoft-Warns-of-ViewState-Code-Injection-Attacks-Using-Publicly-Disclosed-Machine-Keys.aspx
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure