ConnectWise è protagonista delle cronache cyber dell’ultima settimana per avere confermato, il 28 maggio 2025, di avere subìto una grave violazione della sicurezza attribuita a un sofisticato APT. Come spesso accade in questi casi, tuttavia, la notizia non si riferisce a un evento del passato recente: come riferito dalle testate statunitensi, l’attacco ha avuto origine ad agosto 2024, ma l’azienda avrebbe rilevato attività sospette solo a maggio 2025 a seguito di anomalie nei log.

Vittime e attaccanti

ConnectWise è un celebre vendor software che realizza soluzioni per MSP, reparti IT aziendali e fornitori di servizi tecnologici. La sua punta di diamante è la piattaforma integrata ScreenConnect, che include strumenti di ticketing, RMM, sicurezza, CRM, fatturazione e automazione dei processi, utilizzata da decine di migliaia di MSP e organizzazioni IT a livello globale, che a loro volta gestiscono milioni di endpoint per conto dei clienti. È proprio la piattaforma ad essere caduta vittima di quello che si prefigura come un Supply Chain Attack a tutti gli effetti.

Sul fronte degli attaccanti, il vendor ha affidato le indagini forensi a Mandiant, ora parte di Google Cloud. L’azione – di cui riassumiamo di seguito la catena di attacco - è stata attribuita da ConnectWise a un threat actor sofisticato, ma l’identità precisa del gruppo o della nazione a cui fa capo non sono state divulgate pubblicamente. Alcune testate suggeriscono collegamenti con campagne russe, cinesi o nordcoreane, ma siamo nell’ambito delle speculazioni perché molti invece sottolineano la mancanza di prove definitive.

Cronologia degli eventi

Come accennato sopra, secondo fonti interne l’attacco avrebbe avuto origine ad agosto 2024 e gli attaccanti avrebbero avuto 9 mesi di tempo per operare prima di essere scoperti. Bisogna infatti attendere maggio 2025 per la rilevazione di anomalie nei log delle istanze cloud di ScreenConnect. Il 28 maggio 2025 è quindi la data in cui sono avvenute la conferma pubblica e la notifica ai clienti colpiti circa l’accesso non autorizzato agli ambienti di Connectwise.

Il delta di tempo purtroppo non stupisce: le attività APT sono appunto caratterizzate dalla permanenza prolungata nelle reti target, che secondo stime recenti è mediamente superiore a 200 giorni, con casi che superano l’anno e punte fino a 4 anni. Periodi decisamente più prolungati rispetto al cybercrime, dove il tempo medio di dwell time è di circa 5 giorni.

Il motivo è da ricercare negli obiettivi: il cybercrime deve capitalizzare l’attacco incassando il riscatto, quindi gli attaccanti hanno convenienza a rivelare la propria presenza. Al contrario, gli APT agiscono principalmente per spionaggio o sabotaggio, e in questi casi più la presenza è prolungata nell’infrastruttura target, più si centrano gli obiettivi.

La catena di attacco

Anche sul fronte della catena di attacco non ci sono inediti da svelare. Gli attaccanti si sono limitati a seguire un copione purtroppo noto: lo sfruttamento di una vulnerabilità. In particolare, le porte dell’infrastruttura sono state spalancate agli attaccanti dalla falla monitorata con la sigla CVE-2025-3935, a cui è assegnato un punteggio CVSS di 8.1. È stata corretta il 24 aprile 2025 con l’aggiornamento a ScreenConnect 25.2.4, pertanto al momento dell'attacco la difesa aveva armi spuntate.

La vulnerabilità in questione interessa le versioni 25.2.3 e precedenti di ScreenConnect e riguarda una deserializzazione non sicura del ViewState in ASP.NET. Per semplificare, quando si ha a che fare con un sito web realizzato con ASP.NET, il sistema memorizza informazioni temporanee in un campo nascosto (hidden field) all’interno dell’HTML della pagina che contiene il ViewState, ossia una stringa serializzata, codificata in Base64. Quando la pagina viene inviata nuovamente al server, il server deserializza il contenuto del ViewState per ricostruire lo stato della pagina e dei controlli.

In caso di deserializzazione non sicura, un attaccante può inviare un ViewState modificato che contiene oggetti serializzati costruiti per sfruttare vulnerabilità note e ottenere l’esecuzione di codice arbitrario, portando a un Remote Code Execution (RCE), cosa che si è puntualmente verificata nel caso dell’attacco a ConnectWise. Gli attaccanti infatti hanno iniettato codice arbitrario nei ViewState, ottenendo esecuzione remota sui server ScreenConnect. Questo ha permesso l’installazione di backdoor, l’esfiltrazione di dati e l’accesso agli ambienti dei clienti collegati alle istanze cloud violate.

Il resto è storia: gli attaccanti hanno mantenuto per mesi l’accesso all’infrastruttura, concentrandosi su clienti strategici nel settore manifatturiero e della difesa. I dati esfiltrati includono credenziali, configurazioni di rete e documenti sensibili legati a progetti infrastrutturali. Il fatto che sia stata sfruttata la falla nella modalità descritta indica senza dubbio una conoscenza approfondita dell’architettura ASP.NET e delle vulnerabilità nel ViewState da parte degli attaccanti.

Déjà-vu

Molti esperti in questi giorni fanno notare che la violazione rientra in un pattern di attacchi mirati proprio contro ScreenConnect. A febbraio 2024 il tool era stato bersagliato di attacchi che avevano sfruttato la vulnerabilità nota come CVE-2024-1709: in quella circostanza gli attaccanti erano gruppi ransomware e APT nordcoreani e la finalità era la distribuzione di malware. Gli esperti di Zscaler hanno inoltre documentato altre vulnerabilità critiche di ScreenConnect (CVE-2024-1708) che potevano consentire agli attaccanti di bypassare l'autenticazione e caricare file dannosi.

Ampliando il contesto, quanto accaduto a ConnectWise evidenzia l’esistenza di rischi sistemici legati alle piattaforme RMM, che sono spesso prese di mira per la loro posizione privilegiata all’interno delle infrastrutture IT. il modus operandi dell’attacco contro ConnectWise sembra coinvolgere tecniche simili a quelle osservate in campagne cinesi, nordcoreane e russe, mirate appunto contro strumenti RMM. È proprio la frequenza di questi incidenti a far comprendere la necessità di un approccio proattivo nella gestione delle vulnerabilità, oltre a una fattiva collaborazione tra vendor, enti governativi e società di intelligence per anticipare le minacce soprattutto da parte di threat actor sponsorizzati da stati nazionali.