Vulnerabilità critica in ScreenConnect: Come difendersi dagli attacchi

Vulnerabilità Zero-Day in ScreenConnect: Analisi, Impatti e Consigli per la Protezione

La sicurezza delle soluzioni di accesso remoto è oggi una priorità assoluta, soprattutto in un contesto in cui sempre più aziende fanno affidamento su questi strumenti per il supporto IT e la gestione delle infrastrutture. ScreenConnect, ora noto come ConnectWise Control, si è imposto nel tempo come uno degli strumenti più diffusi e affidabili. Tuttavia, recenti scoperte hanno messo in luce una grave vulnerabilità che minaccia la sicurezza di milioni di sistemi nel mondo.

Cos’è la Vulnerabilità CVE-2025-3935

Il 26 aprile 2025, ConnectWise ha annunciato la scoperta di una vulnerabilità critica all’interno del proprio software di accesso remoto ScreenConnect, identificata come CVE-2025-3935 e classificata secondo il CWE-287 (Improper Authentication). Questa falla espone tutte le versioni di ScreenConnect fino alla release 25.2.3 a un attacco di code injection tramite ViewState, raggiungendo un punteggio di severità CVSS di 8.1, quindi estremamente elevato.

Il problema nasce dalla gestione del ViewState nelle ASP.NET Web Forms, che consente il mantenimento dello stato delle pagine e dei controlli tra una richiesta e l’altra del server. In condizioni normali, il ViewState viene codificato in Base64 e protetto tramite machine key. Tuttavia, se queste machine key vengono compromesse — ad esempio per via di accessi privilegiati non autorizzati — un attaccante può generare e inviare dati ViewState manipolati, in grado di eseguire codice malevolo direttamente sul server.

Perché Questa Falla È Così Pericolosa

Questa vulnerabilità non riguarda solo ScreenConnect, ma potenzialmente qualsiasi prodotto basato su ASP.NET che sfrutta ViewState. Il fatto che l’exploit consenta l’esecuzione remota di codice apre la porta a scenari catastrofici: da malware persistenti a ransomware, dalla sottrazione di informazioni sensibili al totale controllo dell’infrastruttura IT aziendale, fino al movimento laterale verso altri sistemi collegati.

ConnectWise ha attribuito a questa vulnerabilità la massima priorità (Priority 1), dichiarando che è già stata attivamente presa di mira dagli attaccanti e presenta un rischio estremamente elevato di sfruttamento.

Modalità di Sfruttamento della Vulnerabilità

Gli attaccanti sfruttano principalmente la debolezza nell’autenticazione del ViewState. Una volta ottenuta la machine key, sono in grado di creare payload inseriti nel ViewState, che il server vulnerabile esegue senza ulteriori controlli. Microsoft aveva già avvisato a febbraio 2025 di un’ondata di attacchi ViewState code injection, sottolineando come spesso le machine key statiche siano pubblicamente disponibili in repository o documentazione online, rendendo più semplice la vita ai cyber criminali.

Questa tecnica rende praticamente vana ogni barriera di autenticazione: l’attaccante può impartire comandi direttamente al server, spesso senza lasciare tracce evidenti.

Come Si Manifestano Gli Attacchi

Gli attacchi vengono solitamente indirizzati verso istanze di ScreenConnect esposte pubblicamente e non aggiornate. Una volta compromessa la macchina, l’aggressore può caricare estensioni malevole, installare web shell, impartire comandi da remoto o persino creare nuovi utenti amministratori.

Secondo le principali società di sicurezza che stanno monitorando la situazione, vi è un’ondata di campagne malware che sfruttano questa falla per ottenere accesso iniziale ai sistemi bersaglio e poi propagarsi all’interno della rete aziendale.

Indicatori di Compromissione

Riconoscere un attacco in corso non è sempre semplice. Tuttavia, alcuni segnali comuni includono:

• Creazione di utenti amministratori sconosciuti
• Presenza di processi sospetti o non riconosciuti sul server
• Modifiche non autorizzate alle impostazioni del software
• Caricamento di file sconosciuti nelle directory di ScreenConnect
• Connessioni impreviste in ingresso o in uscita dal server

Un’analisi attenta dei log e un monitoraggio attivo delle attività di rete sono fondamentali per individuare tempestivamente eventuali compromissioni.

Le Patch e Le Azioni Immediati da Intraprendere

Alla luce della gravità della vulnerabilità, ConnectWise ha rilasciato tempestivamente la versione 25.2.4 di ScreenConnect, che corregge il difetto relativo alla gestione del ViewState. Tutti gli utenti e amministratori sono chiamati ad aggiornare immediatamente le proprie istanze.

Azioni consigliate:

• Applicare la patch ufficiale ConnectWise 25.2.4 senza ritardi
• Verificare che tutti i sistemi esposti su Internet siano aggiornati e protetti
• Rimuovere o modificare le machine key statiche, sostituendole con valori unici e sicuri
• Limitare l’esposizione delle istanze ScreenConnect solo alle reti strettamente necessarie
• Implementare controlli di accesso a più fattori (MFA) per tutti gli account amministrativi
• Isolare e analizzare qualsiasi server sospetto per rilevare eventuali compromissioni pregresse
• Monitorare regolarmente i log di sistema e di applicazione per individuare attività anomale

Migliori Pratiche di Sicurezza per Software di Accesso Remoto

La vulnerabilità di ScreenConnect è solo l’ultimo esempio di quanto le soluzioni di accesso remoto debbano essere gestite con la massima attenzione. Implementare alcune best practice è fondamentale per ridurre i rischi:

• Segmentazione della rete: Tenere i server ScreenConnect separati dal resto dell’infrastruttura aziendale limita i danni in caso di compromissione.
• Aggiornamenti regolari: I software di accesso remoto devono essere aggiornati con regolarità, seguendo le linee guida dei vendor.
• Principio del minimo privilegio: Gli account devono avere solo i permessi strettamente necessari. Gli accessi amministrativi devono essere limitati e monitorati.
• Backup frequenti: Realizzare backup periodici, testando il ripristino, consente di ridurre l’impatto di un eventuale attacco ransomware.
• Awareness e formazione: Tutto il personale IT deve essere addestrato a riconoscere mailing di phishing e tentativi di social engineering volti a ottenere accessi remoti.

Consigli Operativi per Amministratori e Aziende

1. Mappare tutte le installazioni ScreenConnect presenti in azienda, incluse quelle meno evidenti o legacy.
2. Applicare la patch senza eccezioni: anche una sola installazione non aggiornata può compromettere l’intera rete.
3. Effettuare un audit delle machine key e aggiornarle laddove possibile.
4. Disabilitare l’accesso pubblico ai server ScreenConnect quando non strettamente necessario.
5. Configura regole firewall restrittive che limitino solo agli IP fidati la possibilità di collegarsi ai server remoti.
6. Utilizzare sistemi di rilevamento delle intrusioni (IDS/IPS) per monitorare traffico anomalo verso le istanze remote.
7. Verifica periodica dei log di accesso e di sistema alla ricerca di attività sospette.
8. Testare la resilienza della propria infrastruttura tramite penetration test regolari, simulando tentativi di exploit della vulnerabilità.

L’incidente che ha coinvolto ScreenConnect rappresenta un campanello d’allarme sull’importanza di una corretta gestione della sicurezza dei software di accesso remoto. La rapidità con cui la vulnerabilità è stata scoperta e sfruttata dimostra quanto sia fondamentale mantenere aggiornati tutti i sistemi e seguire le migliori pratiche di sicurezza.

Ogni azienda, grande o piccola che sia, dovrebbe considerare la sicurezza informatica come una responsabilità condivisa e continuare ad investire nella protezione dei propri asset digitali. Restare informati e aggiornati sulle evoluzioni delle minacce è l’unico modo per ridurre al minimo i rischi e garantire la continuità operativa.

In caso di dubbi o difficoltà, affidarsi a partner specializzati in sicurezza informatica può fare la differenza tra un incidente gestito e una crisi potenzialmente devastante.

Fonte: https://cybersecuritynews.com/screenconnect-vulnerability-malicious-code