Connectwise hat derzeit nicht nur mit Angriffen auf Schwachstellen in seiner ScreenConnect-Fernwartungssoftware zu kämpfen. Das Unternehmen hat mitgeteilt, dass offenbar staatlich unterstützte Kriminelle in die Netze des Anbieters eingebrochen sind.
Laut der Sicherheitsmitteilung von Connectwise fand der IT-Vorfall bereits Ende Mai statt. "ConnectWise hat vor kurzem verdächtige Aktivitäten in unserer Umgebung entdeckt, von denen wir glauben, dass sie mit einem fortschrittlichen staatlichen Akteur in Verbindung stehen und die eine sehr kleine Anzahl von ScreenConnect-Kunden betreffen", schreibt das Unternehmen. Der Vorfall datiert auf den 28. Mai zurück.
Für die Untersuchung habe Connectwise die IT-Forensikexperten von Googles Tochter Mandiant eingebunden. Alle betroffenen Kunden seien informiert worden, außerdem koordiniere das Unternehmen sich mit den Strafverfolgern. Connectwise hat mit Mandiants Unterstützung erweitertes Monitoring eingerichtet und Härtungsmaßnahmen über die gesamte IT-Umgebung ergriffen.
Weitere verdächtige Aktivitäten habe Connectwise in etwaigen Kunden-Instanzen demnach nicht mehr beobachtet. Nach dem Installieren des Sicherheitsupdates von Ende April für ScreenConnect auf die Cloud-Instanzen sei dort nichts Verdächtiges mehr aufgetreten. Gemeint ist offenbar eine Lücke, die Angreifern das Einschleusen von Schadcode aufgrund einer ViewState-Code-Injection-Schwachstelle ermöglicht (CVE-2025-3935 / EUVD-2025-12502, CVSS 8.1, Risiko "hoch").
Details zu den Angriffen und ihrer Auswirkungen sind eher dünn gesät: Bisherige Untersuchungsergebnisse deuten demnach darauf, dass der Vorfall auf ScreenConnect, und dort offenbar die Cloud-Instanzen, beschränkt war. Ob der Einbruch durch die genannte Sicherheitslücke erfolgte, kann Connectwise derzeit noch nicht sagen. Daher empfiehlt das Unternehmen, bei OnPremises-Installationen die Sicherheitsupdates aus dem April anzuwenden.
Der Hersteller konzentriere sich derzeit auf die Identifizierung betroffener Partner und ihrer Systeme und die Begrenzung der Auswirkungen des Cyberangriffs. Immerhin handelt es sich wohl nicht um eine Ransomware-Attacke: "Die verdächtigen Aktivitäten wurden mit einem staatlichen Bedrohungsakteur in Verbindung gebracht, der für die Sammlung von Informationen bekannt ist", erörtert Connectwise.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare