ScreenConnect CVE: מדוע פלטפורמת הגישה מרחוק הזו הופכת שוב ושוב לבעיית אבטחה בעדיפות ראשונה

תוכנות לגישה מרחוק תופסות מקום מוזר בתחום אבטחת המידע הארגונית. לעתים נדירות הן המוצר הגדול ביותר בסביבה, לעתים נדירות הן המרשימות ביותר, ולעתים קרובות הן נתפסות כ"צנרת תפעולית". אך כאשר אותה "צנרת" חשופה לאינטרנט, קשורה לתהליכי העבודה של המנהלים, ומשמשת כגשר בין טכנאים למערכות הלקוחות, נקודת תורפה אחת עלולה להפוך לבעיה ברמה הארגונית. זו הסיבה ש-CVE של ScreenConnect ממשיכים למשוך תשומת לב רבה. הבעיה אינה רק בכך ש-ScreenConnect סבלה מפגיעויות. הבעיה היא ש-ScreenConnect נמצאת לעתים קרובות במצב שבו פגמים באימות, טעויות בגבולות האמון, באגים בטיפול בתוספים או חשיפת סודות הצפנה עלולים להוביל לשליטה מרחוק, גישה במורד הזרם ופגיעה תפעולית נרחבת. (ConnectWise)

התיעוד הציבורי משלוש השנים האחרונות מצביע על דפוס ברור. בשנת 2024 נאלצו אנשי האבטחה להגיב לפריצת אבטחה קריטית שעקפה את תהליך האימות ולפגם נלווה של "מעבר נתיבים" (path traversal), שהפכו לאחד מאירועי הניהול מרחוק שהתפשטו במהירות הרבה ביותר באותה שנה. בשנת 2025 התמקדה תשומת הלב בהזרקת קוד ל-ViewState ובאבטחת מפתחות המכונה של ASP.NET. בסוף 2025 ובתחילת 2026, המיקוד התרחב שוב לאמון בתוספים, לחשיפת תצורה, להתנהגות תוספי חתימת תעודות, ולחיזוק חדש סביב חומר קריפטוגרפי ברמת השרת. במצטבר, גילויים אלה מספרים סיפור רחב יותר על זהות, אמון, והיקף הפגיעה החריג של תשתית תמיכה מרחוק החשופה לאינטרנט. (ציידת)

אם תזכרו דבר אחד בלבד מהמאמר הזה, זה צריך להיות הדבר הבא: פגיעות CVE ב-ScreenConnect היא לעיתים רחוקות רק בעיה של התאמת גרסאות. בדרך כלל מדובר בשאלה האם משטח ניהול בעל ערך גבוה חשוף, האם ניתן לעקוף או לשחזר גבולות זהות, האם נעשה שימוש לא נאות בסודות, והאם תוקף יכול להפוך את המצב הזה לשליטה ניהולית של ממש. זו הסיבה שהתגובה הנכונה אינה "להתקין תיקון כשנוח". התגובה הנכונה היא "להתייחס לזה כתשתית בעדיפות ראשונה עד שיוכח אחרת". (יחידה 42)

ה-CVE של ScreenConnect החשובים ביותר כרגע

תוצאות החיפוש הציבוריות והסיקור העדכני של האזהרות מבהירים דבר אחד: כאשר אנשי מקצוע מחפשים את המונח "screenconnect cve", הם נמשכים באופן גורף לקבוצה קטנה של תקריות. CVE-2024-1709 ו-CVE-2024-1708 עדיין שולטות בתוצאות, מכיוון שהן נוצלו בהיקף נרחב, נותחו לעומק והיו בולטות מבחינה תפעולית. CVE-2025-3935 חשובה מכיוון שהיא שינתה את השיח סביב ViewState ומפתחות מכונה. CVE-2025-14265 ו-CVE-2025-14823 חשובות מכיוון שהן הרחיבו את מודל האיום לאמון בתוספים וחשיפת תצורה. CVE-2026-3564 חשובה מכיוון שהיא מראה ש-ConnectWise עדיין מחמירה את ההגנות סביב חומר הצפנה בצד השרת נכון למרץ 2026. (NVD)

קבוצה זו משקפת היטב את האופן שבו על מגינים אמיתיים להתייחס למוצר. הגל הראשון עסק בעקיפת זהות. הגל השני עסק בהפעלת קוד באמצעות מנגנוני אמון בצד השרת. הגל השלישי עסק בשאלה האם התצורה והחומר הקריפטוגרפי מוגנים כאילו היו נכסי "שורש האמון" לכל דבר ועניין. אין מדובר בקטגוריות באגים מנותקות זו מזו. הן מהוות ביטויים שונים של אותה אמת תפעולית: פלטפורמת ניהול מרחוק הופכת למסוכנת במהירות רבה כאשר עוגני האמון שלה חלשים. (ציידת)

CVE-2024-1709 ו-CVE-2024-1708: האירוע ששינה את האופן שבו צוותים מבצעים מיון ראשוני ב-ScreenConnect

משבר ScreenConnect של 2024 החל בשתי פרצות אבטחה שנחשפו על ידי ConnectWise בפברואר 2024 וטופלו בגרסה 23.9.8 ואילך עבור פריסות מקומיות, בעוד שהספק כבר טיפל בבעיות במערך הענן. בהודעה של ConnectWise הובהר כי על כל השותפים המשתמשים בפריסות מקומיות לבצע שדרוג מיידי, ובהמשך הוסרו מגבלות הרישיון כדי לסייע ללקוחות הוותיקים להתקדם. (ConnectWise)

לשני ה-CVE הוקצו מספרי זיהוי במהירות. CVE-2024-1709 היה עקיפת אימות באמצעות נתיב או ערוץ חלופי ב-ScreenConnect 23.9.7 ובגרסאות קודמות, ואילו CVE-2024-1708 היה בעיה של מעבר בין נתיבים שהשפיעה על אותן גרסאות. Huntress סיכמה את השניים ב-21 בפברואר 2024 ותיארה את נתיב הניצול כ"טריוויאלי וקל עד כדי מבוכה", בעוד Rapid7 עדכנה את ההודעה שלה באותו השבוע כדי לציין ניצול בשטח. (ציידת)

דיווחי האירועים של Unit 42 מפאלו אלטו מספקים נתוני היקף שימושיים. נכון ל-21 בפברואר 2024, Unit 42 זיהתה 18,188 כתובות IP ייחודיות המארחות את ScreenConnect ברחבי העולם, והזהירה כי ניתן לנצל את CVE-2024-1709 בקלות, כי כבר קיימים ניצולים להוכחת היתכנות, ואף שפורסם מודול Metasploit. יחידה 42 ציינה גם כי CISA הוסיפה את CVE-2024-1709 לקטלוג הפגיעות המנוצלות הידועות (KEV) עם מועד תיקון פדרלי של 29 בפברואר 2024. זהו סוג לוח הזמנים שאנשי אבטחה צריכים לשים לב אליו: חשיפה באינטרנט, שיטות עבודה יעילות והכללה ב-KEV בתוך ימים ספורים. (יחידה 42)

כדאי להבין את המנגנון הבסיסי ברמה כללית, שכן הוא מסביר מדוע האירוע הסלים במהירות כה רבה. הניתוח של IBM הצביע על לב ליבו התפעולי של הבעיה: הפגיעות CVE-2024-1709 אפשרה לבקשות המופנות לגרסה של נתיב SetupWizard להגיע ללוגיקת האתחול אפילו במכונות שהוגדרו כבר, ובכך למעשה פתחה מחדש גבול שהמגנים הניחו שכבר נסגר. CVE-2024-1708, לעומת זאת, אפשר התנהגות של מיקום קבצים הקשורה לטיפול בסיומות. כשלעצמו, זה כבר היה חמור. בשילוב עם עקיפת האימות, זה נתן לתוקפים נתיב אמין מגישה לא מאומתת לשליטה ניהולית ולתוצאות של ביצוע קוד. (IBM)

זו הסיבה שפרשת ScreenConnect משנת 2024 נותרה חקוקה כל כך בזיכרון קהילת האבטחה. לא היה זה עוד אזהרה מקוונת בסגנון "התקינו תיקון עכשיו". זו הייתה דוגמה מוחשית לאופן שבו תוכנת תמיכה מרחוק עלולה להיכשל דווקא בשכבות החשובות ביותר: מצב ההתקנה, שערי האימות והתנהגות הרחבות בעלות הרשאות. בפועל, משמעות הדבר היא שהתיאור הטכני של הבאג כמעט ממעיט בערכו של הסיכון. מה שבאמת חשוב הוא תפקידה של התוכנה. אפליקציית אינטרנט ציבורית פגיעה היא דבר רע. משטח ניהול מרחוק פגיע עם גישה ניהולית לסביבות הלקוחות הוא דבר גרוע עוד יותר. (יחידה 42)

מדוע ScreenConnect הפכה ליעד כה אטרקטיבי

תוקפים לא נזקקו לשכנוע רב. בהודעה המשותפת של CISA בנוגע ל-Black Basta נמסר כי החל מפברואר 2024, גורמים המזוהים עם Black Basta ניצלו את הפגיעות CVE-2024-1709 כדי להשיג גישה ראשונית. בהודעת CISA בנוגע לתוכנת הכופר Medusa במרץ 2025 הוזכרה שוב הפגיעות ScreenConnect CVE-2024-1709 בין הפגיעות שנוצלו על ידי אותה מערכת. IBM ציינה גם כי בסוף פברואר 2024, קבוצות תוכנות כופר כגון Black Basta ו-Bl00dy ניצלו את הפגמים ב-ScreenConnect, ובהמשך דיווחו על פעילות נוספת הקשורה לגורמים המזוהים עם המדינה הסינית ולשיטות פעולה של מתווכי גישה ראשונית. (CISA)

העניין באיום זה הוא הגיוני. מוצרי ניטור וניהול מרחוק הם מרכזים של אמון. הם משמשים לאימות טכנאים, הגעה לנקודות קצה, ביצוע פעולות תמיכה, ולעתים קרובות מהווים גשר בין פעילות הספק או MSP לנכסי הלקוח. אם פוגעים במופע אחד של ScreenConnect הפונה לציבור, התוקף כבר לא מתמודד עם גבול של יישום בודד. הוא מתמודד עם שער כניסה לתהליכי העבודה של המנהלים. זו הסיבה שתקרית 2024 משכה במהירות את תשומת הלב של מפעילי תוכנות כופר, ולא רק של סורקים אופורטוניסטים. (IBM)

נתוני החשיפה העולמיים של Unit 42 הבהירו היטב את קהל היעד. בפברואר 2024 נצפו יותר מ-18,000 כתובות IP ייחודיות, כאשר ארצות הברית היוותה את החלק הגדול ביותר. במערכת אקולוגית שבה המהירות היא גורם מכריע, פלטפורמה ברמת ניהול, הפרוסה בהיקף נרחב ונגישה מרחוק, שניתן לעקוף את מנגנון האימות שלה בקלות, היא בדיוק סוג ההזדמנות שתוקפים מעדיפים לנצל. (יחידה 42)

CVE-2025-3935, כאשר הסיפור עבר מעקיפת אימות למפתחות מכונה

אם שנת 2024 הייתה השנה שבה אנשי האבטחה למדו לחשוש מנתיבי ההתקנה וההרחבה החשופים של ScreenConnect, שנת 2025 הייתה השנה שבה נאלצו להקדיש מחשבה רבה יותר למפתחות המחשב של ASP.NET. עלון ScreenConnect 25.2.4 של ConnectWise, שפורסם ב-24 באפריל 2025, תיאר את CVE-2025-3935 כבעיית הזרקת קוד ב-ViewState המשפיעה על גרסה 25.2.3 ומטה. הספק הסביר את התנאי הקריטי בפשטות: אם מפתחות המחשב נפגעים, תוקפים יכולים ליצור ViewState זדוני ולהשיג פוטנציאלית ביצוע קוד מרחוק בשרת. סביבות הענן תוקנו על ידי הספק, אך המשתמשים המקומיים נדרשו לעדכן. (ConnectWise)

פגיעות זו התרחשה בהקשר תעשייתי רחב יותר, מה שהפך אותה לחשובה יותר, ולא פחות. בפברואר 2025, Microsoft Threat Intelligence דיווחה כי הבחינה בפעילות זדונית בדצמבר 2024, שבה תוקף השתמש במפתח מחשב ASP.NET סטטי הזמין לציבור כדי לבצע הזרקת קוד ViewState ולהעביר את מסגרת הניצול Godzilla. מיקרוסופט מסרה כי זיהתה יותר מ-3,000 מפתחות מחשב שנחשפו לציבור העלולים לאפשר התקפות אלו והמליצה לארגונים להפסיק להשתמש במפתחות ציבוריים, להחליפם ולחקור את המשך קיומם אם קיים חשד לפריצה. (מיקרוסופט)

מחקר זה של מיקרוסופט חשוב משום שהוא מסביר מדוע CVE-2025-3935 מעולם לא היה רק מקרה קיצון ספציפי לספק. הוא נמצא בנקודת המפגש בין ניהול מפתחות לא מאובטח, חומרי אמון של ASP.NET ושיטות פעולה של תוקפים בעולם האמיתי. כאשר מפתחות מכונה נחשפים, משמשים שוב, מתפרסמים או נגנבים, ViewState עלול להפוך לנתיב לביצוע קוד. במילים אחרות, מה שנראה כ"עוד פרט שולי במסגרת אינטרנטית" הוא למעשה בעיה של אמון קריפטוגרפי עם השלכות על התשתית. (מיקרוסופט)

המצב הפך דחוף יותר ביוני 2025. ה-CISA הוסיפה את CVE-2025-3935 לקטלוג הפגיעויות הידועות כמנוצלות, ו-Qualys סיכמה את אזהרת הסוכנות בציינה כי המשתמשים הונחו להתקין את התיקון עד ה-23 ביוני 2025. דיווחים פומביים שפורסמו לאחר מכן קישרו את הבאג לאירוע אבטחה נרחב יותר ב-ConnectWise. בהודעה שפרסמה ConnectWise ב-28 במאי 2025 נמסר כי החברה נודע על פעילות חשודה הקשורה לגורם מתוחכם מטעם מדינה, שהשפיעה על מספר מצומצם מאוד של לקוחות ScreenConnect, וכי היא שכרה את שירותיה של חברת Mandiant ויישמה אמצעי ניטור וחיזוק משופרים. (CISA)

הקשר המדויק בין ההודעה המייעצת משנת 2025, הפעילות בצד הענן ו-CVE-2025-3935 לא היה ברור לחלוטין בכל ההצהרות הפומביות, והעמימות עצמה הפכה לחלק מהסיפור. עם זאת, מספר דיווחים פומביים סיכמו את המצב כפעילות המוגבלת ל-ScreenConnect, עם תיקון ב-24 באפריל והכללה מאוחרת יותר ב-KEV עבור CVE-2025-3935. בדיווח של BleepingComputer צוין כי ConnectWise תיקנה את הבעיה בפלטפורמות המארחות שלה לפני החשיפה הציבורית, וכי הדיון הציבורי התמקד בעיקר במפתחות מכונה ובאינסטנסים המארחים בענן. The Hacker News דיווח מאוחר יותר כי ConnectWise אישרה שפעילות זדונית הייתה קשורה לניצול של CVE-2025-3935. מכיוון שחלק מפרטי ציר הזמן נותרו מעורפלים בציבור, התיאור הזהיר ביותר הוא ש-CVE-2025-3935 טופל על ידי CISA כפרצה ידועה, והיה קשור באופן פומבי לאירוע אבטחה משמעותי שהשפיע על מספר מצומצם של לקוחות. (BleepingComputer)

לכך יש חשיבות עבור אנשי אבטחה, שכן הדבר משנה את אופן קביעת סדר העדיפויות בעבודתם. אם תוכנית האבטחה שלכם עדיין מתייחסת למפתחות מחשב כאל פרט שולי בתצורה, הסיפור של ScreenConnect משנת 2025 מהווה אזהרה עבורכם. מפתחות אלה מהווים עוגני אמינות. הם ראויים לאותה רמת רצינות שהייתם מייחסים למפתחות חתימה, לסודות SSO או לאישורי שירות בעלי הרשאות מיוחדות. (מיקרוסופט)

CVE-2025-14265 ו-CVE-2025-14823: הבעיות הפחות בולטות, אך עדיין חשובות

הטעות הנפוצה ביותר במיון פגיעות היא להתמקד רק בכותרות הברורות ביותר הנוגעות לשלב שלפני ההרשאה, ולהתעלם מהבעיות הדורשות רמה כלשהי של הרשאות, גישה או היכרות עם המוצר. הגילויים של ScreenConnect לשנת 2025 מראים מדוע הדבר מסוכן.

העלון של ConnectWise מחודש דצמבר 2025 עבור ScreenConnect 25.8 התייחס ל-CVE-2025-14265. לפי ConnectWise ו-NVD, בגרסאות שקדמו ל-25.8 היו חולשות בתת-מערכת התוספים שעלולות לאפשר התקנה והפעלה של תוספים לא מהימנים או שרירותיים על ידי משתמשים מורשים או מנהלים, מה שעלול להוביל להפעלת קוד מותאם אישית בשרת או לגישה לא מורשית לנתוני תצורה. הספק הצהיר כי לא היו ראיות לניצול הפגיעות באותו הזמן והדגיש כי לקוחות מארחים ואורחים לא הושפעו. (ConnectWise)

על הנייר, צוותים מסוימים יזלזלו בזה מיד, מכיוון שלא מדובר בפגיעות באינטרנט ללא אימות. בפועל, זה עדיין חשוב. שימוש לרעה בסמכויות ניהול במוצר ניהול אינו עניין של מה בכך. בסביבה אמיתית, "משתמש מורשה או מנהל" יכול להיות חשבון MSP שנפרץ, זהות טכנאי שהועברה, הפעלת מנהל גנובה, או נקודת אחיזה מתמשכת לאחר פריצה קודמת. ברגע שמבינים את מיקום המוצר בסביבה, אמון ההרחבה הופך למשטח התקפה רציני מבחינה תפעולית. (ConnectWise)

הפגיעות CVE-2025-14823 הציגה תופעה דומה באמצעות מנגנון שונה. ה-NVD תיעד כי בפריסות המשתמשות בתוסף חתימת האישורים (Certificate Signing Extension) של ScreenConnect, ערכי תצורה מוצפנים, כולל מפתח הקשור ל-Azure Key Vault, עלולים היו להיחשף למשתמשים לא מאומתים דרך נקודת קצה הפונה ללקוח בתנאים מסוימים. העדכון של ConnectWise העביר את הטיפול בתצורה באופן מלא לצד השרת בגרסה 1.0.12 ואילך, כדי למנוע העברת ערכים מוצפנים ללקוחות. (NVD)

זהו בדיוק סוג הבעיה שמגינים נוטים לעיתים להתעלם ממנה, משום שהערכים החשופים נותרים מוצפנים. זו אינה תגובה בטוחה. אין להציג כלל אובייקטים רגישים בתחום ההצפנה או התצורה בתגובות ללא אימות. גם כאשר ההשפעה על הסודיות נראית מוגבלת, דליפה מסוג זה עלולה לספק לתוקפים חומר לשרשור, זיהוי טביעות אצבע, ניסיונות השמעה חוזרת, תובנות ארכיטקטוניות או ניצול לרעה עתידי של טיפול בסודות. הלקח רחב יותר מה-CVE עצמו: בתשתית ניהול מרחוק, חשיפת תצורה היא לעתים נדירות תמימה כפי שהיא נראית במבט ראשון. (NVD)

CVE-2026-3564 ו-ScreenConnect 26.1, חיזוק "שורש האמון" האמיתי

ההתפתחות האחרונה והחשובה ביותר בתחום האבטחה של ScreenConnect התרחשה במרץ 2026. NVD מתאר את CVE-2026-3564 כפגיעות שעלולה לאפשר לתוקף בעל גישה לחומר הצפנה ברמת השרת המשמש לאימות, להשיג גישה בלתי מורשית, כולל הרשאות מוגברות, בתרחישים מסוימים. על פי הודעת ConnectWise 26.1, הגרסה החדשה מציגה הגנות משופרות לטיפול במפתחות מחשב, כולל אחסון וניהול מוצפנים, במטרה ספציפית להפחית את הסיכון לגישה בלתי מורשית כאשר שלמות השרת עלולה להיפגע. (NVD)

זה חשוב משום שזה מראה היכן הספק עצמו סבור שגבול האבטחה נמצא כעת. עד שנת 2026, כיוון המוצר מכיר בבירור בכך שחומר המפתחות של המכונה הוא מרכזי מספיק כדי להצדיק חיזוק ייעודי. הדיווח של BleepingComputer מחודש מרץ 2026 סיכם את הנושא ככזה שעלול לאפשר חטיפת הפעלות או פעולות לא מורשות אם חומר המפתחות של המכונה ייחשף, וציין כי ConnectWise המליצה על בקרות גישה מחמירות יותר סביב קבצי תצורה, בדיקת יומנים לאיתור פעילות אימות חריגה, הגנה על גיבויים ותחזוקת הרחבות, בנוסף לשדרוג. (BleepingComputer)

במקביל, בדיווחים הפומביים הקפידו להבחין בין סיכון מוחשי לבין ניצול מאומת. על פי הדיווחים, חברת ConnectWise מסרה כי הבחינה בניסיונות לנצל לרעה את חומר מפתח המחשב של ASP.NET שנחשף בסביבה האקולוגית, אך לא היו בידיה ראיות לכך ש-CVE-2026-3564 נוצל באופן ספציפי ב-ScreenConnect המארח נכון למועד הפרסום. זוהי תזכורת מועילה לכך שמגינים צריכים להימנע משתי טעויות מנוגדות: להניח שכל באג חדש ב-ScreenConnect כבר פוגע בסביבתכם, או להניח שהודעת אבטחה היא בלתי מזיקה מכיוון שאין בה כותרת דרמטית על ניצול. הפרשנות הנכונה היא עדינה יותר. כאשר ספק משנה את אופן ההגנה על חומר הצפנה הקשור לאימות, זה בדרך כלל אומר שמשטח העיצוב חשוב מספיק כדי להצדיק תשומת לב מיידית. (BleepingComputer)

ההקשר הקודם עדיין רלוונטי, כולל הפרשה השנויה במחלוקת בנוגע לחתימת הקוד

ישנו CVE ישן יותר הקשור ל-ScreenConnect שראוי להזכיר אותו, שכן הוא מחזק את אותו הנושא של "עוגני אמון" ו"ביצוע חתום". הערך של NVD עבור CVE-2023-25718 מתאר בעיה שנויה במחלוקת אך חמורה ב-ConnectWise Control (לשעבר ScreenConnect), הנוגעת לבקרות חתימת קוד פגומות מבחינה קריפטוגרפית, העלולות לאפשר חבלה בקבצי הפעלה חתומים ואמינים. הרישום מציין את הוויכוח סביב ההיקף והחפיפה, אך המסקנה הכללית נותרת שימושית: כאשר כלי תמיכה מרחוק מחלישים את האמון ברכיבים חתומים, הסיכון הנגזר מכך אינו תיאורטי. השאלה היא האם ניתן להטעות משתמשים ומערכות לקבל תוכן זדוני כתוכנה מהימנה. (NVD)

לא הייתי הופך את CVE-2023-25718 לנושא המרכזי במאמר הנוכחי על ScreenConnect. הבעיות משנת 2024 ועד 2026 רלוונטיות יותר מבחינה תפעולית כרגע. אך יש להתייחס אליה ברקע, משום שהיא תואמת את הדפוס: הסיכון הטמון במוצר מתעצם בכל פעם שיש ניהול לקוי של אימות, הרחבות, חתימה או גבולות אמון קריפטוגרפיים. (NVD)

הדפוס המשותף ל-CVE של ScreenConnect

בשלב זה, כבר אמור להיות ברור מהו המכנה המשותף. האירועים הללו אינם אקראיים. הם מתרכזים סביב מספר מצומצם של היבטים עיצוביים.

ראשית, ScreenConnect מחובר לרוב לאינטרנט. תצפית שערך Unit 42 בפברואר 2024, שהקיפה 18,188 מחשבים, הוכיחה עד כמה רחב יכול להיות שטח החשיפה לתקיפה. (יחידה 42)

שנית, ScreenConnect פועלת לרוב ברמת הרשאות גבוהה. בין אם היא נמצאת בשימוש על ידי מחלקת ה-IT הפנימית, ספקי שירות חיצוניים או ספקי שירותי ניהול (MSP), היא נמצאת לרוב קרוב לזהות המנהל ולשליטה בנקודות הקצה. דבר זה מגדיל את התועלת לתוקפים ואת העלות של עיכוב מצד המגנים. (IBM)

שלישית, כמה מהבעיות החשובות ב-ScreenConnect נוגעות למעשה לנושא האמון, ולא רק לבאגים במנגנון הניתוח. מצב ההתקנה, תקינות התוספים, מפתחות המכשיר, סודיות התצורה והתנהגות חתימת האישורים – כל אלה קובעים אם הפלטפורמה סבורה שיש לסמוך על בקשה, אובייקט או פעולה כלשהם. כאשר החלטות אמון אלה נכשלות, תוקפים יכולים להפוך נקודת תורפה מצומצמת לגישה ניהולית. (ציידת)

רביעית, אין צורך שהניצול ייראה זהה בכל המקרים כדי להצדיק מתן עדיפות. חלק מהפגיעויות הן כמעט טריוויאליות ונגישות דרך האינטרנט, כמו CVE-2024-1709. אחרות דורשות מפתחות שנפרצו או גישה עם הרשאות, כמו CVE-2025-3935 או CVE-2025-14265. במוצר ניהול, שתי הקטגוריות משמעותיות. האחת מאיימת על הגישה הראשונית. השנייה מאיימת על הגברה, התמדה וניצול ניהולי עמוק יותר לאחר הפריצה. (יחידה 42)

מה באמת צריכים לעשות המגנים

המשימה הראשונה היא "אמת הנכסים". עליכם לדעת אילו מופעים של ScreenConnect קיימים, האם הם מתארחים בענן או באתר הלקוח, אילו גרסאות פועלות בהם, והאם עדיין ניתן להגיע אליהם מהאינטרנט הציבורי. זה נשמע בסיסי, אך התקרית משנת 2024 הוכיחה כמה ארגונים לא ידעו זאת, או שלא פעלו במהירות מספקת כאשר גילו זאת. מדידות החשיפה של Unit 42 ועבודת המלאי המאוחרת של Censys בנוגע ל-CVE-2025-3935 מדגישות שתיהן את אותה הנקודה: מערכות אלה ניתנות לאיתור, ניתן למנות אותן, ולעתים קרובות הן נראות מספיק כדי להפוך ליעדים מועדפים. (יחידה 42)

המשימה השנייה היא התקנת תיקונים בהתאם לדרישות האבטחה, ולא לפי נוחות לוח השנה. לגבי הפגיעויות משנת 2024, ConnectWise ציינה שמשתמשים בסביבת ה-on-premis זקוקים לגרסה 23.9.8 לפחות, בעוד שמשתמשים בענן אינם נדרשים לבצע פעולה כלשהי. עבור CVE-2025-3935, גרסת התיקון הנדרשת הייתה 25.2.4 או מאוחרת יותר. עבור CVE-2025-14265, היעד היה 25.8. עבור CVE-2026-3564, היעד הוא 26.1. לא מדובר במספרי עדכון קוסמטיים. מדובר בשינויים בגבולות הקשורים לאימות, לטיפול במפתחות או לאימות אמון. (ConnectWise)

המשימה השלישית היא שמירה על תקינות המפתחות. ההנחיות של מיקרוסופט בנוגע למפתחות מחשב ב-ASP.NET רלוונטיות באופן ישיר גם מעבר ל-ScreenConnect עצמו. אין להעתיק מפתחות ציבוריים מתוך תיעוד או מאגרים. יש לבדוק ולחדש מפתחות קבועים. אם אתם מגלים מפתחות שנחשפו או נפגעו בסביבתכם, ייתכן שחידוש המפתחות בלבד לא יספיק, מכיוון שייתכן שהפגיעה כבר התבססה. מיקרוסופט ממליצה במפורש על חקירה מעמיקה יותר, ובמקרים מסוימים, על בחינת אפשרות לבנייה מחדש של שרתים הפונים לאינטרנט. זהו מודל תגובה חמור בהרבה מזה שצוותים נוקטים בדרך כלל ב"ניקוי תצורה", והוא המודל הנכון. (מיקרוסופט)

המשימה הרביעית היא מעקב אחר סימנים המעידים על פגיעה בגבולות האמון של ScreenConnect. משמעות הדבר היא מעקב אחר הגישה לקבצי web.config ו-machine.config, בדיקת התנהגות תהליכי העבודה של IIS לאיתור טעינת אסימבלים חשודה, מעקב אחר אירועי אימות חריגים, וכן מעקב אחר יצירת חשבונות מנהלים או שינויים בהרחבות בתוך המוצר עצמו. בסקירת Rapid7 מפברואר 2024 צוין תוכן זיהוי חדש עבור טכניקות תוקפים הקשורות להוספת משתמש חדש, בעוד שההנחיות של מיקרוסופט לגבי שימוש לרעה במפתח ViewState כללו ניטור קונקרטי של גישה לקבצי תצורה ושל חריגות בתהליכי ה-IIS. (Rapid7)

המשימה החמישית היא להתייחס לגיבויים, לתמונות מצב ולייצואים ישנים כמקורות רגישים של חומר הצפנה. ההנחיות שפרסמה ConnectWise במרץ 2026 הדגישו את הצורך בהגנה על גיבויים ותמונות מצב של נתונים ישנים. קל להתעלם מכך, אך אם סודות נותרים בגיבויים ישנים, התוקפים אינם זקוקים למארח הייצור החי שלכם כדי להצליח. הם זקוקים לעותק אחד של החומר הנכון, שניתן לשחזר או לקרוא. (BleepingComputer)

מטריצת תיקונים מעשית

נתוני הגרסאות והתיקונים שלעיל נלקחו ישירות מהרשומות של ConnectWise ו-NVD. פרשנות הסיכונים היא ניתוח אבטחה מעשי של התראות אלה בהקשר של ניצול בפועל וחשיפת פלטפורמות הניהול. (ConnectWise)

דוגמאות לזיהוי ואימות שניתן להשתמש בהן בבטחה

להלן דוגמאות בתחום ההגנה, ולא חומר לניצול פרצות. הן נועדו לסייע לצוותים לבצע רישום, ניטור וחקירה.

PowerShell, זיהוי מפתחות קבועים של מחשבים בתצורות היישומים של IIS

זאת בהתאם להמלצת מיקרוסופט לבדוק את הסביבות לאיתור מפתחות קבועים של מחשבים, במקום להסתמך באופן עיוור על ערכים שעברו בירושה או הועתקו. התאימו את היקף החיפוש לתיקיות השורש של אתרי האינטרנט שלכם ולמודל ניהול התצורה שלכם. (מיקרוסופט)

Get-ChildItem -Path "C:\inetpub","D:\WebApps" -Recurse -Filter "web.config" -ErrorAction SilentlyContinue | Select-String -Pattern "<machineKey" | Select-Object Path, LineNumber, Line

תוצאה חיובית בבדיקה זו אינה מהווה הוכחה לפריצה. זוהי אינדיקציה לכך שהיישום עשוי להשתמש במפתחות מכונה גלויים, ויש לבדוק אם מפתחות אלה ייחודיים, עוברים רוטציה ומוגנים כראוי. ההנחיות של מיקרוסופט קובעות בבירור כי אם נעשה שימוש במפתחות שנחשפו, ייתכן שרוטציית מפתחות בלבד לא תספיק, ויהיה צורך בבדיקה מעמיקה יותר של המחשב המארח. (מיקרוסופט)

KQL, חפש גישה חשודה לקבצים web.config ו-machine.config

מיקרוסופט ממליצה במפורש לבדוק קבצים אלה ולעיין באירוע אבטחה 4663 של Windows כדי לאתר גישה חריגה. השאילתה הבאה מבוססת על ההנחיות של מיקרוסופט ומהווה נקודת התחלה טובה לחקירה מעמיקה יותר של IIS ו-ASP.NET. (מיקרוסופט)

SecurityEvent | where TimeGenerated > ago(7d) | where EventID == 4663 | where ObjectName מכיל "web.config" או ObjectName מכיל "machine.config" | summarize StartTime=min(TimeGenerated), EndTime=max(TimeGenerated), Count=count() לפי Computer, SubjectUserName, ProcessName, ObjectName, AccessMask | order by Count desc

חפשו גישה מצד חשבונות בלתי צפויים, חלונות תחזוקה חריגים או תהליכים שאינם נתיבי IIS וכלי הפריסה הצפויים. מיקרוסופט מציינת כי משתמשים או תהליכים בלתי צפויים הנוגעים בקבצים אלה עשויים להעיד על חבלה או ניסיונות לפגוע במפתחות המחשב. (מיקרוסופט)

סינון יומני IIS, איתור בקשות חשודות של SetupWizard

בסביבות שעדיין עוסקות בחיפוש רטרוספקטיבי סביב קטגוריית האירועים של 2024, יש לבחון בקשות חריגות הקשורות לנתיב אשף ההתקנה. אין מדובר במתכון לניצול פרצות. זוהי רק שיטת איתור פשוטה לאיתור תעבורה שעשויה להיות רלוונטית ביומני אינטרנט היסטוריים. הן Huntress והן IBM הדגישו את התפקיד החריג שמילא SetupWizard.aspx בשרשרת ההתקפה של 2024. (ציידת)

Get-ChildItem "C:\inetpub\logs\LogFiles" -Recurse -Filter *.log | Select-String -Pattern "SetupWizard.aspx" | Select-Object Path, LineNumber, Line

משם, בצעו השוואה לפי כתובת ה-IP של המקור, קוד הסטטוס, סוכן המשתמש וחלון הזמן. אם התקופה חופפת לגרסאות הפגיעות שלכם, אל תסתפקו ביומן האינטרנט. בדקו אם בוצעו פעולות כגון יצירת חשבונות, שינויים בתוספים, קבצים בינאריים חדשים, תהליכים-בנים חריגים ופעילות חשודה בכל נקודות קצה שאליהן ניתן להגיע מהמופע של ScreenConnect שנפגע. (Rapid7)

ציד חשיפה, תבנית שאילתה חיצונית פשוטה

חברת Censys פרסמה שאילתות פלטפורמה שנועדו לזהות מופעים חשופים של ScreenConnect, תוך שהיא מזהירה כי חשיפה כשלעצמה אינה מהווה הוכחה לפגיעות. זו הגישה הנכונה. יש להשתמש בחיפוש חיצוני כדי לאתר נכסים, ולאחר מכן לשלב זאת עם מידע מדויק על גרסאות ונתוני בעלות פנימיים לפני נקיטת פעולה. (Censys)

host.services.software: (ספק: "ConnectWise" ומוצר: "ScreenConnect") או web.software: (ספק: "ConnectWise" ומוצר: "ScreenConnect")

כך נראית תגובה בוגרת

תגובה בוגרת של ScreenConnect אינה מסתכמת ב"סריקה ותיקון". היא דומה יותר לתהליך טיפול באירוע קטן.

ראשית, ערכו רשימה של כל המופעים וסווגו אותם לפי מיקום (ענן לעומת מקומי). שנית, שדרגו לגרסה המתוקנת המתאימה להודעת האבטחה הרלוונטית. שלישית, בדקו אם קיימים מפתחות מחשב סטטיים או חשופים, והאם הם אוחסנו אי-פעם במאגרים, בחבילות פריסה, בייצואים או בגיבויים. רביעית, שמרו וניתחו את היומנים לפני שתנקטו בצעדים תקיפים מדי אם קיים חשד לפריצה. חמישית, בדקו את המוצר לאיתור משתמשים חדשים, שינויים בהרשאות, שינויים בתוספים ואירועי אימות חריגים. שישית, יש להניח שאם שרת ScreenConnect הפונה לאינטרנט אכן נוצל לרעה, ההתמדה והתנועה במורד הזרם חשובות יותר מנתיב הבקשה הראשוני שדרכו התוקף הצליח לחדור. (ConnectWise)

זוהי אחת מההחלטות הקריטיות ביותר שצוותי אבטחה יכולים לקבל. מוצרי ניהול מרחוק אינם תוכנות רגילות בשרשרת ההתקפה. מדובר בתוכנות של מישור הבקרה. משמעות הדבר היא שניתוח הפריצה צריך להתרחב מעבר לשרת עצמו לכל נתיבי האמון שבבעלות השרת: חשבונות מפעילים, זהויות טכנאים, נקודות קצה מנוהלות, חבילות הרחבה, סודות אינטגרציה וכלי ניהול נלווים. (IBM)

החלק הקשה ביותר בטיפול באירוע ScreenConnect הוא לרוב לא קריאת ה-CVE. הקושי טמון בהוכחה האם התנאי הפגיע אכן קיים בסביבתכם, האם ניתן להגיע לנתיב החשוף, האם נעשה שימוש לא נאות בחומר האמון, והאם התיקון שביצעתם אכן סגר את המעגל. זה המקום שבו תהליך אימות המונחה על ידי בינה מלאכותית מועיל יותר מתהליך המסתמך על סורק בלבד. האתגר התפעולי אינו "הראה לי שה-CVE קיים". האתגר התפעולי הוא "הראה לי אם החשיפה שלי אמיתית, אילו ראיות תומכות במסקנה זו, והאם התיקון שינה את המציאות". זהו המקום הטבעי שבו פלטפורמה כמו Penligent משתלבת בתהליך. במקום לעצור בהתאמת גרסאות, היא יכולה לשבת בשכבת האימות: סקירת משטחי הניהול החשופים, אימות בטוח של תנאים נגישים, איסוף ראיות ובדיקה חוזרת לאחר התיקון. החומרים הציבוריים של Penligent עצמה מדגישים באופן עקבי ממצאים מאומתים ודיווח שניתן לשחזר, במקום נפח התראות כללי, וזה בדיוק הגישה שצוותים זקוקים לה לניהול סיכונים מרחוק. (Penligent)

יש גם יתרון רחב יותר בתהליך העבודה. מקרים הקשורים ל-ScreenConnect מאלצים לעתים קרובות את אנשי האבטחה לקשר בין מספר ממדים בו-זמנית: חשיפה לאינטרנט, הקשר של הרשאות, טיפול במפתחות, שינויים בגבולות האמון ואימות לאחר התקנת התיקון. התוכן הציבורי הנלווה של Penligent נשען על מודל ה"הוכחה על פני רעש", וזה מועיל במקרה זה משום ש-ScreenConnect הוא תחום שבו ביטחון כוזב עולה ביוקר. אם הצוות שלכם כבר מכיר את מזהי ה-CVE אך עדיין אינו יכול לקבוע האם המערכת שלכם אכן נחשפה או האם התיקון אכן ניטרל את הנתיב המסוכן, אז הבעיה הבאה אינה עוד טקסט CVE. הבעיה היא אימות. (Penligent)

לקריאה נוספת

• תיקון אבטחה ל-ConnectWise ScreenConnect 23.9.8
• תיקון אבטחה ל-ConnectWise ScreenConnect 25.2.4
• תיקון אבטחה ל-ConnectWise ScreenConnect 25.8
• עלון אבטחה בנושא חיזוק האבטחה של ConnectWise ScreenConnect 26.1
• הערך ב-NVD עבור CVE-2024-1709
• הערך ב-NVD עבור CVE-2024-1708
• הערך ב-NVD עבור CVE-2025-3935
• הערך ב-NVD עבור CVE-2025-14265
• הערך ב-NVD עבור CVE-2025-14823
• הערך ב-NVD עבור CVE-2026-3564
• ניתוח של Huntress לגבי CVE-2024-1709 ו-CVE-2024-1708
• ניתוח של Rapid7 בנוגע לפגיעויות ב-ScreenConnect משנת 2024
• תקציר איומים של יחידה 42 בפאלו אלטו בנוגע ל-CVE-2024-1708 ו-CVE-2024-1709
• הנחיות מיקרוסופט בנוגע למפתחות מחשב של ASP.NET שנחשפו בפומבי והזרקת קוד ל-ViewState
• קטלוג CISA KEV
• כלי בדיקת חדירות מבוסס בינה מלאכותית: איך תיראה תקיפה אוטומטית אמיתית בשנת 2026
• קטגוריית CVE ב-Penligent Hacking Labs
• כלי בדיקת הפריצה של Shannon AI לעומת Penligent: מה מהנדסי אבטחה צריכים באמת להשוות בשנת 2026
• הרהורים מחודשים על איתור פגיעות אוטומטי באמצעות ניתוח סטטי המונע על ידי מודלים לשוניים גדולים (LLM)