Connectwise ha revelado que está planeando rotar los certificados de firma de código digital utilizados para firmar los ejecutables de StremConnect, Connectwise Automating y Connectwise Remote Monitoring and Monitoring (RMM) debido a preocupaciones de seguridad.
La compañía dijo que lo está haciendo «debido a las preocupaciones planteadas por un investigador de terceros sobre cómo Screenconnect manejó ciertos datos de configuración en versiones anteriores».
Si bien la compañía no elaboró públicamente la naturaleza del problema, ha arrojado más luz en las preguntas frecuentes no públicas accesibles solo para sus clientes (y luego compartido en Reddit) –
La preocupación proviene de Screenconnect utilizando la capacidad de almacenar datos de configuración en un área disponible del instalador que no está firmado pero que es parte del instalador. Estamos utilizando esta capacidad para transmitir información de configuración para la conexión (entre el agente y el servidor), como la URL, donde el agente debe volver a llamar sin invalidar la firma. Sin embargo, el área sin firmar es utilizada por nuestro software y otros para la personalización, cuando se combina con las capacidades de una solución de control remoto, podría crear un patrón de diseño inseguro según los estándares de seguridad actuales.
Además de emitir nuevos certificados, la compañía dijo que está lanzando una actualización diseñada para mejorar la forma en que se gestionan los datos de configuración antes mencionados en Screenconnect.
Se espera que la revocación de certificados digitales se llevará a cabo antes del 13 de junio a las 8 pm ET (14 de junio, 12 am UTC). Connectwise ha enfatizado que el problema no implica un compromiso de sus sistemas o certificados.
Vale la pena señalar que Automáticamente Connectwise ya está en el proceso de actualización de certificados y agentes en todas sus instancias en la nube de Automate y RMM.
Sin embargo, aquellos que usan versiones locales de ScreenConnect o Automate deben actualizarse a la última compilación y validar que todos los agentes se actualizan antes de la fecha de corte para evitar posibles interrupciones en el servicio.
«Ya habíamos planeado mejoras para la gestión de certificados y el endurecimiento del producto, pero estos esfuerzos ahora se están implementando en una línea de tiempo acelerada», dijo Connectwise. «Entendemos que esto puede crear desafíos y estamos comprometidos a apoyarlo a través de la transición».
El desarrollo se produce solo días después de que la compañía revelara que un presunto actor de amenaza de estado-estado violó sus sistemas y afectó a un pequeño número de sus clientes al explotar CVE-2025-3935 para realizar ataques de inyección de código ViewState.
También se produce cuando los atacantes dependen cada vez más del software RMM legítimo como Screenconnect y otros para obtener un acceso remoto persistente y sigiloso, lo que les permite combinarse con actividad normal y volar bajo el radar.
Esta metodología de ataque, llamada Living-of-the-land (LOTL), permite secuestrar las capacidades inherentes del software para acceso remoto, transferencia de archivos y ejecución de comandos.
