近年来,远程访问和远程管理软件在企业IT环境中扮演着越来越重要的角色。ConnectWise作为业内领先的IT管理解决方案提供商,其旗下的ScreenConnect远程控制软件及Automate产品被广泛应用于各种规模的企业中。这些工具通过代码签名证书确保软件的完整性与信任度,保护用户免受恶意篡改。然而,近期ConnectWise宣布将进行代码签名证书的全面更换,以应对安全隐患并强化产品安全策略。这一举措不仅反映出软件安全领域的最新发展趋势,也提醒企业用户及时更新和维护其相关系统,防范潜在风险。ConnectWise此次计划更换代码签名证书,主要缘起于第三方安全研究人员发现ScreenConnect早期版本中存在设计上的安全隐患。
具体来说,ScreenConnect允许在安装程序的一个未签名区域存储配置信息,这一设计本意是为了实现安装程序的自定义配置,而不会破坏整体签名的有效性。然而,这种做法在现今严格的安全标准下,可能被不法分子利用,构成潜在的安全漏洞。该未签名区域存储了关键的连接配置信息,例如代理软件与服务器之间回调的URL地址。攻击者若能操控或篡改这些数据,可能会诱导软件连接到恶意服务器,从而建立隐秘的远程访问通道,导致数据泄露或系统控制权被夺取。虽然ConnectWise强调,这次证书更换并非由于系统或证书本身遭到破解,而是基于安全设计升级的考虑,防患于未然,公司同时计划通过软件更新,改善配置数据的管理方式,以消除这一安全隐患。对于部署在云端的Automate和远程监控管理(RMM)产品,ConnectWise已经启动了自动更新程序,确保所有云端实例均使用新的代码签名证书及更新代理版本。
对于采用自建(on-premise)方式部署ScreenConnect或Automate的用户,则必须主动下载并安装最新版本,确保所有代理均更新完毕,否则在证书撤销生效后可能会面临服务中断的风险。该证书正式撤销的截止时间定于2025年6月13日美国东部时间晚上八点(UTC时间6月14日午夜),ConnectWise同时表示将加速推进证书管理和产品安全加固计划,力求将安全隐患降至最低。此次事件发生之际,正值ConnectWise刚刚披露其系统遭到疑似国家级威胁行为者攻击。攻击者利用CVE-2025-3935漏洞通过ViewState代码注入手段渗透部分客户系统,这一事实凸显了攻击者越来越倾向于滥用合法的远程管理工具进行“以合法为掩护”的隐蔽入侵。所谓“以地为生”(living-off-the-land)攻击方式,指攻击者借助目标网络自身的管理工具实现长期隐蔽控制,随时远程执行命令和文件传输,令其攻击行为更加难以被检测,传统防御措施难以应对。远程管理软件在企业数字化运营中不可或缺,但其固有的强大访问能力也使其成为攻击者重点利用的攻击载体。
因此,软件厂商和用户均需强化安全策略,加强对远程访问工具的管理和监控。ConnectWise此举正是响应全球网络安全形势和行业标准演进,旨在通过证书更新和架构调整,堵塞安全漏洞,提升产品安全保障水平。同时,ConnectWise承诺为客户提供全程技术支持,帮助其顺利完成更新过渡,减少可能带来的使用困扰。对于企业用户,尤其采用本地版本的IT管理团队来说,及时关注厂商通告,确保远程监控与控制软件的补丁和证书均为最新状态至关重要。这不仅能保障正常运行,避免因证书失效导致的连接中断,也能有效抵御潜在的网络攻击威胁。除了积极响应ConnectWise的安全升级计划,企业还应结合多层次防御策略,加强对所有远程访问渠道的权限管理和行为监控。
建立完善的资产清单、访问审计和异常告警体系,是防止远程访问工具被滥用的重要手段。同时,注重员工安全意识培训,防范社会工程学攻击,也是保障远程管理环境安全的关键环节。展望未来,远程管理软件的安全问题将持续受到业界和用户的高度关注。随着攻击手法不断进化,软件供应商需持续投入研发,完善代码签名机制、加密技术以及身份认证流程,推动安全标准的提升。客户方则需与供应商紧密配合,保持软件环境的最新和安全,实现技术与管理的有机结合。ConnectWise此次ScreenConnect证书更换事件,不仅提醒IT管理者保持警惕,更为整个行业敲响警钟:在数字化时代,安全风险无处不在,唯有主动防范和快速响应,才能保障企业信息资产的安全和业务的持续稳定运行。
总结来看,ConnectWise关于ScreenConnect证书更换的措施体现了其对安全负责任的态度和应对挑战的决心。对广大用户而言,积极配合完成升级工作,优化远程管理安全策略,是应对不断增长的网络威胁的必由之路。通过技术更新与管理提升并行,将助力企业塑造坚实的安全防线,稳健迎接未来数字化转型的全新挑战。
