ConnectWise’ın Dijital Sertifikalarla İlgili Güvenlik Açığı
Son dönemlerde yazılım güvenliği alanında dikkat çeken gelişmeler arasında, ConnectWise şirketinin, bazı ürünlerinde dijital kod imzalama sertifikalarını değiştirme kararı yer alıyor. Bu karar, şirketin ScreenConnect, ConnectWise Automate ve RMM (Uzaktan İzleme ve Yönetim) uygulamalarını etkiliyor. Şirket, bu değişikliğin arkasındaki sebebi, bir üçüncü şahıs araştırmacısının ScreenConnect’in daha eski versiyonlarındaki bazı yapılandırma verilerini nasıl yönettiğiyle ilgili endişeler olarak belirtiyor.
Gizli Yapılandırma Verileri ve Güvenlik Riskleri
ConnectWise, sorunun doğası hakkında ayrıntılı bilgi vermek istemese de, bu durumla ilgili bazı bilgiler belirli bir SSS (sıkça sorulan sorular) başlığı altında yalnızca müşterileri için paylaşıldı. Sorun, ScreenConnect’in, imzalı bir parça olmayan ve yükleyiciyle birlikte bulunan yapılandırma verilerini depolama yeteneğinden kaynaklanıyor. Şirket, bu alanı kullanarak bağlantı için gerekli yapılandırma bilgilerini geçirdiğini belirtti. Ancak, günümüz güvenlik standartları göz önünde bulundurulduğunda, bu durum bazı güvenlik riskleri yaratıyor.
Dijital Sertifikaların İptali ve Güncellemeler
ConnectWise, yeni sertifikaların verilmesinin yanı sıra, yapılandırma verilerinin yönetimini geliştirmek için bir güncelleme de yayınlayacağını duyurdu. Dijital sertifikaların iptalinin 13 Haziran 2025 saat 20:00 ET (14 Haziran 00:00 UTC) tarihinde gerçekleşmesi bekleniyor. Şirket, bu sorunun sistemlerinin veya sertifikalarının ele geçirilmesiyle alakalı olmadığını vurguladı.
Ayrıca, ConnectWise, Automate ve RMM uygulamalarının tüm bulut örnekleri için sertifikaların ve ajanların güncellenme sürecinin zaten devam ettiğini belirtmiştir. Ancak, ScreenConnect veya Automate’in yerel (on-premise) sürümlerini kullananların, kesinti yaşamamak için en son sürüme güncellenmeleri ve tüm ajanların güncellendiğinden emin olmaları gerekiyor.
Ürün Güvenliği ve Sertifika Yönetimi
ConnectWise, "Daha önce sertifika yönetimi ve ürün sıkılaştırma için geliştirmeler planlamıştık, ancak bu çalışmalar şimdi hızlandırılmış bir takvimle uygulanıyor," dedi. Şirket, bu sürecin zorluklar yaratabileceğini anladıklarını ve geçiş sürecinde müşterilerine destek vereceklerini belirtti.
Bu gelişmeler, çok kısa bir süre önce, şirketin sistemlerinin, milli bir tehdit aktörü tarafından ihlal edildiğini açıklamasının ardından geldi. Bu saldırı, CVE-2025-3935 açığı kullanılarak gerçekleştirilen bir ViewState kod enjekte etme saldırısı ile sınırlı sayıda müşteriyi etkilemişti.
Yaşanan Saldırılar ve RMM Yazılımları
Son dönemlerde saldırganlar, ScreenConnect gibi meşru uzaktan yönetim yazılımlarını kullanarak gizli bir şekilde sürekli uzaktan erişim elde etmeye çalışıyor. Bu tür bir saldırı metodolojisi, “living-off-the-land” (LoTL) olarak adlandırılıyor ve mevcut yazılımın uzaktan erişim, dosya aktarımı ve komut yürütme gibi doğal yeteneklerinin kötüye kullanılmasını içeriyor. Bu durum, saldırganların normal faaliyetler arasında kaybolmasını sağlıyor ve dikkat çekmeden hareket etmelerine imkan tanıyor.
Sonuç ve Gelecek Adımlar
ConnectWise’ın attığı bu adımlarla, dijital güvenliğin önemine yönelik dikkat çekilmeye çalışılıyor. Dijital sertifikaların korunması ve yazılımların güvenli bir şekilde yönetilmesi, günümüz yazılım güvenliği alanında kritik bir yere sahip. Kullanıcıların ve şirketlerin, bu tür gelişmelere dikkat etmeleri ve gerekli güncellemeleri yapmaları büyük önem taşıyor. Gelecekteki güvenlik tehditlerine karşı daha dirençli bir yazılım ekosistemi oluşturulması amacıyla, yazılım geliştiricilerinin ve kullanıcıların iş birliği içinde hareket etmesi gerektiği düşünülüyor.
