ConnectWise ScreenConnect Improper Authentication Vulnerability — ConnectWise ScreenConnect contains an improper authentication vulnerability. This vulnerability could allow a ViewState code injection attack, which could allow remote code execution if machine keys are compromised.
CVE-2025-3935 is a critical improper authentication vulnerability in ConnectWise ScreenConnect that enables ViewState code injection, potentially leading to remote code execution when machine keys are compromised. With a CVSS score of 9.0 and active exploits available, this vulnerability poses an immediate threat to organizations using ScreenConnect for remote access and support. ConnectWise ScreenConnect is widely deployed across managed service providers (MSPs) and enterprises, making this a high-priority supply chain risk. A patch is available and should be applied immediately.
تحتوي منصة ConnectWise ScreenConnect على ثغرة حرجة في آلية المصادقة تسمح للمهاجمين بتنفيذ هجمات حقن كود ViewState. يمكن للمهاجمين الاستفادة من هذه الثغرة لتنفيذ أكواد برمجية بعيدة على الأنظمة المتأثرة إذا تم اختراق مفاتيح الآلة. هذه الثغرة ذات خطورة عالية جداً وتؤثر على سلامة وأمان البيئات التي تستخدم هذا البرنامج.
CVE-2025-3935 هي ثغرة حرجة في المصادقة غير الصحيحة في ConnectWise ScreenConnect تتيح هجوم حقن ViewState، مما قد يؤدي إلى تنفيذ تعليمات برمجية عن بُعد في حال اختراق مفاتيح الجهاز. مع درجة CVSS تبلغ 9.0 وتوفر استغلالات نشطة، تشكل هذه الثغرة تهديداً فورياً للمؤسسات التي تستخدم ScreenConnect للوصول والدعم عن بُعد. يتوفر تصحيح أمني ويجب تطبيقه فوراً نظراً لخطورة الثغرة وانتشار استخدام البرنامج.
IMMEDIATE ACTIONS:
1. Update ConnectWise ScreenConnect to the latest patched version immediately
2. If unable to patch immediately, restrict access to ScreenConnect servers to trusted IP ranges only
3. Rotate all machine keys on ScreenConnect instances as they may have been compromised
4. Review ScreenConnect server logs for signs of ViewState injection or unusual authentication patterns
DETECTION:
1. Monitor for anomalous ViewState payloads in web requests to ScreenConnect servers
2. Implement IDS/IPS rules to detect ViewState deserialization attacks
3. Search for indicators of compromise including unexpected processes spawned by ScreenConnect
4. Monitor for unauthorized remote sessions or new user account creation
COMPENSATING CONTROLS:
1. Place ScreenConnect behind a VPN or zero-trust network access solution
2. Enable multi-factor authentication for all ScreenConnect access
3. Implement web application firewall (WAF) rules to filter malicious ViewState payloads
4. Segment ScreenConnect servers from critical internal networks
5. Audit all MSP connections and third-party remote access tools
الإجراءات الفورية:
1. تحديث ConnectWise ScreenConnect إلى أحدث إصدار مصحح فوراً
2. في حال عدم القدرة على التحديث فوراً، تقييد الوصول إلى خوادم ScreenConnect للعناوين IP الموثوقة فقط
3. تدوير جميع مفاتيح الجهاز على مثيلات ScreenConnect حيث قد تكون مخترقة
4. مراجعة سجلات خادم ScreenConnect بحثاً عن علامات حقن ViewState أو أنماط مصادقة غير عادية
الكشف:
1. مراقبة حمولات ViewState الشاذة في طلبات الويب لخوادم ScreenConnect
2. تطبيق قواعد IDS/IPS للكشف عن هجمات إلغاء تسلسل ViewState
3. البحث عن مؤشرات الاختراق بما في ذلك العمليات غير المتوقعة التي يطلقها ScreenConnect
4. مراقبة الجلسات عن بُعد غير المصرح بها أو إنشاء حسابات مستخدمين جديدة
الضوابط التعويضية:
1. وضع ScreenConnect خلف VPN أو حل وصول شبكة عدم الثقة
2. تفعيل المصادقة متعددة العوامل لجميع عمليات الوصول إلى ScreenConnect
3. تطبيق قواعد جدار حماية تطبيقات الويب لتصفية حمولات ViewState الضارة
4. عزل خوادم ScreenConnect عن الشبكات الداخلية الحرجة
5. تدقيق جميع اتصالات مزودي الخدمات المدارة وأدوات الوصول عن بُعد