أعلنت شركة ConnectWise يوم الاثنين عن خطتها لتدوير جميع شهادات توقيع الشيفرة الخاصة بمنتجاتها ScreenConnect وConnectWise Automate وConnectWise RMM، المقرر تنفيذها يوم الجمعة 13 يونيو 2025. وأوضحت الشركة أن هذا الإجراء لا علاقة له بالهجوم الإلكتروني الأخير الذي كشفته على بيئتها التشغيلية، والذي نسبته إلى جهة دولية.
سبب التدوير وتحديث إدارة بيانات التهيئة
جاء الإعلان بعد مخاوف أثارها باحث أمني خارجي حول طريقة تعامل ScreenConnect مع بعض بيانات التهيئة في الإصدارات السابقة من منصة الدعم عن بعد. وذكر التحذير الرسمي:
“إلى جانب إصدار شهادات جديدة، نقوم بإصدار تحديث لتحسين إدارة بيانات التهيئة في ScreenConnect.”
حتى الآن، لم يتضح ما إذا كانت هذه المشكلة تمثل ثغرة برمجية فعلية أو إذا كانت ستحصل على تصنيف شائع للثغرات (CVE). ولم تكشف ConnectWise عن هوية الباحث الخارجي.
عصر الحوسبة الخارقة الذكية والمستدامة: مستقبل AMD وفقًا لـ CTO مارك بيبرماستر
الهجوم الإلكتروني على ConnectWise وتأثيره
يأتي تدوير الشهادات بعد إعلان ConnectWise في 28 مايو 2025 عن اكتشاف نشاط خبيث نفذته جهة دولة-أمة، وأثر على “عدد محدود جداً من عملاء ScreenConnect”. وأكدت الشركة أن الهجوم استغل الثغرة الأمنية عالية الخطورة CVE-2025-3935 التي تم الإعلان عنها لأول مرة في 24 أبريل 2025.
رغم إصدار تحديث في الأول من يونيو لمعالجة المشكلة، أثار عدم وضوح تفاصيل الهجوم وتوقيته بعض اللبس حول ما إذا كانت الثغرة المذكورة هي ثغرة يوم صفر (Zero-Day).
وفي بيانها الأخير، نفت الشركة أن يكون هناك اختراق لأنظمتها أو شهاداتها في سياق المشكلة الجديدة المتعلقة ببيانات التهيئة، مشيرة إلى أن عمليات تحسين إدارة الشهادات وتقوية المنتجات كانت مخططة مسبقاً، لكن تم تسريعها حالياً.
أهمية تدوير المفاتيح والشهادات في استجابة الهجمات
تدوير الأسرار الرقمية مثل مفاتيح API والشهادات وبيانات الاعتماد هو إجراء متبع بشكل شائع بعد حدوث خروقات أمنية، خاصة تلك التي تنفذها جهات دولة-أمة. على سبيل المثال، قامت Rubrik في مارس 2025 بتدوير مفاتيحها بعد اكتشاف اختراق، وكذلك فعلت Dropbox في مايو 2024 عقب اختراق بيئة منتج Dropbox Sign.
قال جيسون سلاغل، رئيس مزود خدمات مدارة CNWR وعميل ConnectWise، إن التدوير “يأتي في توقيت سيء لكنه غير مرتبط بهجوم الدولة-الأمة.” وأوضح أن المشكلة الأساسية تتعلق بمثبت ScreenConnect الذي سمح للمهاجمين بتعديل إعدادات التطبيق بشكل خبيث في عمليات احتيال اجتماعية، وأن منتجات ConnectWise Automate وRMM تأثرت لأن جميعها تستخدم نفس شهادات توقيع الشيفرة.
توصيات للعملاء والتحديثات التلقائية
حثت ConnectWise العملاء الذين يستخدمون إصدارات On-Premises من ScreenConnect وAutomate على تحديث برامجهم والتأكد من تحديث كافة الوكلاء بحلول الساعة 8 مساءً بتوقيت شرق الولايات المتحدة يوم الجمعة، لتجنب أي انقطاع في الخدمة أو مشاكل في الأداء.
وأوضحت الشركة أنها تقوم تلقائياً بتحديث الشهادات والوكلاء لنسخ Automate وRMM السحابية، بينما يجري الانتهاء من تحديث نسخ ScreenConnect السحابية وسيتم نشرها تلقائياً.
