ConnectWise, sviluppatore del noto software di accesso remoto e supporto ScreenConnect, è stato recentemente vittima di un attacco informatico mirato, attribuito con alta probabilità a un gruppo di minaccia sponsorizzato da uno Stato nazionale. L’azienda ha dichiarato in un comunicato ufficiale di aver rilevato attività sospette all’interno dei propri sistemi, coinvolgendo una piccola percentuale di clienti ScreenConnect. Per gestire la situazione e condurre indagini approfondite, ConnectWise si è affidata agli specialisti di Google Mandiant e ha notificato tempestivamente tutti i clienti interessati.

Dettagli sull’incidente e vulnerabilità risolta

I dettagli sull’entità degli utenti coinvolti, la tempistica precisa dell’incidente e l’identità degli attaccanti non sono stati divulgati. Tuttavia, emerge un elemento molto rilevante per la sicurezza: già ad aprile 2025 ConnectWise aveva risolto la vulnerabilità CVE-2025-3935 (punteggio CVSS 8.1), presente in ScreenConnect fino alla versione 25.2.3, che poteva essere sfruttata tramite ViewState code injection con chiavi ASP.NET pubblicamente note. Questa tecnica era stata segnalata da Microsoft come attivamente sfruttata da cybercriminali.

Nonostante la mancanza di conferme iniziali, ConnectWise ha successivamente ammesso che l’attività malevola riscontrata è riconducibile proprio all’exploit della CVE-2025-3935, la cui patch era stata rilasciata il 24 aprile 2025. Da quel momento, l’azienda non ha rilevato ulteriori attività sospette e raccomanda a tutti i clienti, inclusi quelli con installazioni on-premise, di aggiornare immediatamente il software, anche se non sotto contratto di manutenzione.

Intervento della CISA e precedenti attacchi

A sottolineare la gravità della situazione, anche la CISA (Cybersecurity and Infrastructure Security Agency) statunitense ha inserito la CVE-2025-3935 nel catalogo delle vulnerabilità note ed attivamente sfruttate (KEV), imponendo alle agenzie federali di applicare la patch entro il 23 giugno.

Non è la prima volta che ScreenConnect finisce nel mirino di attori malevoli. Nel 2024, vulnerabilità precedenti come CVE-2024-1708 e CVE-2024-1709 erano già state sfruttate sia da cybercriminali sia da gruppi di spionaggio statale, tra cui quelli provenienti da Cina, Corea del Nord e Russia, per diffondere payload dannosi su larga scala.

Misure di sicurezza adottate

Per rafforzare la sicurezza, ConnectWise ha implementato misure di monitoraggio potenziate e ulteriori strategie di hardening sui propri sistemi, continuando a sorvegliare con attenzione l’ambiente per evitare nuove compromissioni.