Connectwise ha revelado que está planeando rotar los certificados de firma de código digital utilizados para firmar los ejecutables de StremConnect, Connectwise Automating y Connectwise Remote Monitoring and Monitoring (RMM) oportuno a preocupaciones de seguridad.
La compañía dijo que lo está haciendo “oportuno a las preocupaciones planteadas por un investigador de terceros sobre cómo Screenconnect manejó ciertos datos de configuración en versiones anteriores”.
Si admisiblemente la compañía no elaboró públicamente la naturaleza del problema, ha arrojado más luz en las preguntas frecuentes no públicas accesibles solo para sus clientes (y luego compartido en Reddit) –
La preocupación proviene de Screenconnect utilizando la capacidad de juntar datos de configuración en un dominio habitable del instalador que no está firmado pero que es parte del instalador. Estamos utilizando esta capacidad para transmitir información de configuración para la conexión (entre el agente y el servidor), como la URL, donde el agente debe retornar a clamar sin invalidar la firma. Sin requisa, el dominio sin firmar es utilizada por nuestro software y otros para la personalización, cuando se combina con las capacidades de una decisión de control remoto, podría crear un patrón de diseño inseguro según los estándares de seguridad actuales.
Encima de emitir nuevos certificados, la compañía dijo que está lanzando una puesta al día diseñada para mejorar la forma en que se gestionan los datos de configuración ayer mencionados en Screenconnect.
Se retraso que la revocación de certificados digitales se llevará a sitio ayer del 13 de junio a las 8 pm ET (14 de junio, 12 am UTC). Connectwise ha enfatizado que el problema no implica un compromiso de sus sistemas o certificados.
Vale la pena señalar que Automáticamente Connectwise ya está en el proceso de puesta al día de certificados y agentes en todas sus instancias en la nimbo de Automate y RMM.
Sin requisa, aquellos que usan versiones locales de ScreenConnect o Automate deben actualizarse a la última compilación y validar que todos los agentes se actualizan ayer de la término de corte para evitar posibles interrupciones en el servicio.
“Ya habíamos planeado mejoras para la dirección de certificados y el endurecimiento del producto, pero estos esfuerzos ahora se están implementando en una cuerda de tiempo acelerada”, dijo Connectwise. “Entendemos que esto puede crear desafíos y estamos comprometidos a apoyarlo a través de la transición”.
El mejora se produce solo días luego de que la compañía revelara que un supuesto actor de amenaza de estado-estado violó sus sistemas y afectó a un pequeño número de sus clientes al explotar CVE-2025-3935 para realizar ataques de inyección de código ViewState.
Asimismo se produce cuando los atacantes dependen cada vez más del software RMM verdadero como Screenconnect y otros para obtener un llegada remoto persistente y sigiloso, lo que les permite combinarse con actividad natural y huir bajo el radar.
Esta metodología de ataque, señal Living-of-the-land (LOTL), permite secuestrar las capacidades inherentes del software para llegada remoto, transferencia de archivos y ejecución de comandos.
