Connectwise'ın ScreenConnect uzaktan bakım yazılımında saldırganlar, sunucuya kendi uzantılarını yüklemek için kritik bir güvenlik açığından yararlanabilirler. Güncellenen yazılım sorunu çözecektir.
Duyurudan sonra devamını okuyun
Güvenlik açığı açıklamasında özellikle “uzantı alt sistemi içindeki sunucu tarafı doğrulama ve bütünlük denetiminin, güvenilmeyen veya keyfi uzantıların kayıtlı kullanıcılar veya yöneticiler tarafından kurulmasına ve çalıştırılmasına izin verdiği” belirtiliyor. Bu davranışın kötüye kullanılması, kodunuzun yürütülmesine veya uygulama yapılandırma verilerine yetkisiz erişime yol açabilir. Notun yazarlarını sınırlayan “Sorun yalnızca ScreenConnect sunucu bileşenini etkiliyor, ana bilgisayar ve konuk istemciler etkilenmedi” (CVE-2025-14265, CVSS) 9.1risk”eleştirmen“).
Güncellenmiş yazılım
Connectwise, ScreenConnect 25.8 güvenlik yamasını yayınladı. Connectwise'ın bir güvenlik notunda yazdığı gibi, güncelleme, uzantıları yüklerken sunucu tarafı doğrulamayı ve bütünlük kontrolünü güçlendirerek “ve genel olarak platformun güvenliğini ve kararlılığını iyileştirerek” sorunu çözmeyi amaçlıyor. CVSS'ye göre risk değerlendirmesinden farklı olarak Connectwise, sorunu önemli buluyor ancak önceliği yalnızca orta düzeyde değerlendiriyor. Bunun temel nedeni, kötü niyetli aktörlerin bu güvenlik açığını suistimal edebilmeleri için izne ihtiyaç duyulmasıdır.
Üretici, bulut ürünleri için güncellenmiş yazılımı zaten dağıtmıştır. Ancak yazılımı yerel olarak kullanan herkesin ScreenConnect sayfasından güncellemeleri indirip yüklemesi gerekir. Hem sunucuların hem de konuk istemcilerin aynı sürüm 25.8'e (veya daha yenisine) güncellenmesi gerekir. Şirket ayrıca yöneticilerin uyması gereken talimatları da sağlıyor.
BT yöneticileri güncellemenin zamanında gerçekleşmesini sağlamalıdır. ScreenConnect'teki güvenlik açıkları siber suçlular tarafından büyük önem taşıyor. Örneğin Haziran ayında ScreenConnect'e yönelik saldırılar öğrenildi. Ayrıca ScreenConnect yöneticileri hedef odaklı kimlik avı saldırılarının hedefi oluyor.
(Bilmiyorum)
Bir yanıt yazın