Cảnh Báo: Lỗ Hổng Bảo Mật Nghiêm Trọng CVE-2025-3935 Trong ConnectWise ScreenConnect

04/06/2025
2 mins read
Nội dung
Cảnh Báo Bảo Mật: Lỗ Hổng Xác Thực Nghiêm Trọng Trong ConnectWise ScreenConnect (CVE-2025-3935)
Dòng Thời Gian Sự Kiện
Chi Tiết Lỗ Hổng
Các Biện Pháp Khắc Phục
Hướng Dẫn Thực Tiễn

Cảnh Báo Bảo Mật: Lỗ Hổng Xác Thực Nghiêm Trọng Trong ConnectWise ScreenConnect (CVE-2025-3935)

Một lỗ hổng bảo mật nghiêm trọng trong ConnectWise ScreenConnect đã được CISA thêm vào danh mục Known Exploited Vulnerabilities (KEV). Lỗ hổng này, được gán mã CVE-2025-3935, liên quan đến lỗi xác thực không đúng cách, tạo điều kiện cho các cuộc tấn công mạng phức tạp. Dưới đây là thông tin chi tiết về lỗ hổng, các rủi ro liên quan và các biện pháp khắc phục cần thiết.

Dòng Thời Gian Sự Kiện

  • Tháng 12/2024: Microsoft Threat Intelligence phát hiện việc lạm dụng public ASP.NET machine keys để tiêm mã độc vào các máy chủ, bao gồm cả ScreenConnect.
  • Tháng 4/2025: ConnectWise phát hành phiên bản 25.2.4, vô hiệu hóa ViewState và loại bỏ sự phụ thuộc vào nó, từ đó vá lỗ hổng.
  • Tháng 5/2025: ConnectWise công bố một tác nhân quốc gia có trình độ cao đã xâm phạm môi trường của họ, ảnh hưởng đến một số lượng nhỏ khách hàng sử dụng ScreenConnect.

Chi Tiết Lỗ Hổng

  • CVE-2025-3935: Đây là lỗ hổng xác thực không đúng cách trong ConnectWise ScreenConnect, được liệt kê trong danh mục KEV của CISA.
  • Rủi ro: Lỗ hổng cho phép kẻ tấn công di chuyển ngang trong mạng (lateral movement), trích xuất dữ liệu (data exfiltration) hoặc triển khai các payload phụ. Điều này gây ra nguy cơ nghiêm trọng liên quan đến việc thu thập thông tin xác thực (credential harvesting), chiếm quyền điều khiển hệ thống và các cuộc tấn công chuỗi cung ứng (supply chain attacks).

Các Biện Pháp Khắc Phục

Để giảm thiểu rủi ro từ lỗ hổng này, các tổ chức cần thực hiện ngay các bước sau:

  • Cập nhật bản vá ngay lập tức: Nâng cấp lên phiên bản ScreenConnect 25.2.4 hoặc mới hơn. Bản cập nhật này tắt ViewState và loại bỏ sự phụ thuộc vào nó, ngăn chặn đường tấn công.
  • Cloud Instances: Người dùng ScreenConnect được triển khai trên nền tảng đám mây tại “screenconnect.com” hoặc “hostedrmm.com” không cần thực hiện hành động gì, vì các nền tảng này đã được cập nhật tự động.
  • On-Premises Instances: Các triển khai tại chỗ (on-premises) chạy phiên bản 25.2.3 hoặc cũ hơn phải được nâng cấp thủ công. Các bản vá bảo mật miễn phí cũng có sẵn cho một số phiên bản cũ nhất định.
  • Tăng cường bảo mật: Sau khi vá, cần đặt lại mật khẩu quản trị viên, bật xác thực đa yếu tố (MFA) và theo dõi các hoạt động bất thường.
  • Tuân thủ quy định: Đối với các cơ quan liên bang, tuân thủ Binding Operational Directive (BOD) 22-01 của CISA, yêu cầu khắc phục các lỗ hổng được khai thác trước ngày hạn định (23/06/2025).

Hướng Dẫn Thực Tiễn

  • Theo dõi (Monitoring): Các nhóm bảo mật cần giám sát các cố gắng xác thực bất thường, sự kiện tạo tiến trình bất ngờ hoặc các thay đổi trái phép đối với file cấu hình của ScreenConnect.
  • Bối cảnh lịch sử: Mặc dù không có bằng chứng xác nhận rằng lỗ hổng này đã bị sử dụng trong các chiến dịch ransomware, nhưng các lỗ hổng RCE trong các công cụ truy cập từ xa thường bị các nhóm như LockBit và ALPHV/BlackCat khai thác.

Việc tuân thủ các biện pháp khắc phục và duy trì cảnh giác sẽ giúp các tổ chức giảm thiểu đáng kể rủi ro liên quan đến lỗ hổng nghiêm trọng này trong ConnectWise ScreenConnect.