El fallo CVE-2025-3935 de ScreenConnect, que fue corregido en abril pasado, estaría vinculado a un ataque sofisticado que afectó a un número limitado de clientes de la firma ConnectWise. CISA emitió una advertencia sobre su explotación activa. Hay críticas por el manejo del incidente por parte de la empresa.
ConnectWise, la firma estadounidense especializada en software de gestión de TI, se encuentra en el centro de una creciente preocupación dentro del ecosistema tecnológico. Recientemente reconoció haber sido blanco de lo que describió como una «intrusión sofisticada», posiblemente orquestada por un actor estatal, que comprometió su entorno y afectó a un reducido grupo de clientes que utilizaban su herramienta de acceso remoto ScreenConnect.
“ConnectWise se enteró recientemente de una actividad sospechosa dentro de nuestro entorno que creemos que estaba vinculada a un actor sofisticado de un estado nacional”, informó la empresa en un comunicado. La compañía señaló que el ataque afectó a “un número muy pequeño de clientes” y que la investigación está siendo conducida con el apoyo de Mandiant, firma reconocida por su experiencia forense en ciberseguridad.
ScreenConnect, el producto afectado, permite a técnicos de soporte acceder de forma remota y segura a los sistemas de sus clientes para ofrecer mantenimiento, aplicar parches y resolver problemas técnicos. De acuerdo con información publicada por medios de ciberseguridad, la vulnerabilidad explotada podría estar relacionada con la falla CVE-2025-3935, corregida el 24 de abril pasado. La falla permitía la inyección de código malicioso mediante la manipulación de datos ViewState en versiones anteriores a ScreenConnect 25.2.3.
Aunque ConnectWise no ha confirmado si esa vulnerabilidad fue la puerta de entrada utilizada en la intrusión, múltiples fuentes sugieren que los atacantes pudieron haber accedido a las claves de máquina necesarias para generar cargas útiles para la ejecución remota de código en servidores comprometidos. La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) también ha emitido una alerta por la explotación activa de esta misma falla.
Además del incidente, la empresa anunció la rotación de sus certificados de firma digital utilizados en ScreenConnect, ConnectWise Automate y ConnectWise RMM. Los certificados digitales permiten verificar que un archivo ejecutable proviene de una fuente confiable y no ha sido alterado. En un aviso enviado a sus clientes, la compañía explicó que se encontraban “actualizando los certificados de firma digitaldebido a inquietudes planteadas por un investigador externo sobre cómo ScreenConnect podría ser potencialmente mal utilizado por un actor malicioso”.
Aunque ConnectWise subrayó que esta acción no está relacionada con el ciberataque detectado previamente, algunos expertos sospechan que podría haber una conexión más amplia con el abuso de instaladores legítimos. De hecho, en abril pasado fueron detectadas campañas de phishing en las que se distribuía software legítimo de ConnectWise preconfigurado para conectarse a servidores controlados por atacantes, lo que generaba una falsa sensación de seguridad gracias al uso de certificados válidos.
La presión sobre ConnectWise crece no solo por la falta de claridad en torno al ataque, sino también por la limitada información ofrecida a sus clientes. Varios usuarios manifestaron su frustración por la ausencia de indicadores de compromiso (IoC), lo que ha dificultado evaluar el alcance real de la brecha. “Solo un número muy pequeño de clientes se vio afectado”, señaló Jason Slagle, presidente del proveedor de servicios administrados CNWR, lo que sugiere que se trató de un ataque selectivo y dirigido.
El entorno no podría ser más delicado, justo cuando CISA ha incluido la vulnerabilidad de ScreenConnect en su catálogo de fallas explotadas activamente y ha instado a las agencias federales a aplicar las medidas de mitigación antes del próximo 23 de junio. Junto con CVE-2025-3935, también fueron identificadas otras cuatro vulnerabilidades críticas que afectan a routers ASUS y al sistema de gestión de contenidos Craft CMS, las cuales también están siendo activamente explotadas de acuerdo con la entidad.