サポートに使用されるリモート デスクトップおよびアクセス ソフトウェアである ConnectWise ScreenConnect に影響を及ぼす 2 つの新たな脆弱性 (CVE-2024-1709 と CVE-2024-1708) があり、前者は組織にとって特に危険です。
ScreenConnect 23.9.7以前に影響を与えるCVE-2024-1709の脆弱性により、リモート攻撃者は認証をバイパスしてScreenConnectユーザーデータベースを削除し、管理者ユーザーを制御できるようになります。攻撃者による大規模な悪用は現在も続いており、インターネットから3,000以上の脆弱なインスタンスにアクセスできる状態です。セキュリティ企業は、この脆弱性の悪用後にランサムウェア、情報窃取型マルウェア、Cobalt Strikeペイロードなどがインストールされる様子を確認しています。
CVE-2024-1708 の脆弱性は CVE-2024-1709 ほど深刻ではありませんが、パス トラバーサルを許可し、攻撃者がアクセスできないはずのファイルやディレクトリにアクセスできるようになります。
ScreenConnect CVE-2024-1709の脆弱性に関する技術的詳細
米国に拠点を置くサイバーセキュリティ企業 Huntress は、ScreenConnect の CVE-2024-1708 および CVE-2024-1709 の脆弱性に関する技術的な詳細を公開しました。後者は、公開されているインスタンス上の特別なパスへの単純なリクエストによって、攻撃者がインスタンスのセットアップ ウィザードに接続できるため、特に危険です (図 A )。
Huntressの研究者の説明によると、セットアップウィザードは初期管理者ユーザーの設定とシステムへのライセンスのインストールを担っています。Huntressチームは、「このセットアップにおけるユーザー作成部分は、セットアップページで[次へ]ボタンをクリックした直後に実行されるため、システムを悪用するためにセットアップウィザードを完全に完了する必要はありません」と述べています。攻撃者がこの手順を完了すると、内部ユーザーデータベースが完全に上書きされ、すべてのローカルユーザーが削除され、インスタンスの管理者は攻撃者のみになります。
研究者らによると、これが完了すると、悪意のある ScreenConnect 拡張機能を作成してアップロードし、インスタンス上で完全なリモート コード実行を取得するのは簡単になります。
また、パストラバーサルを許可する、それほど深刻ではない脆弱性である CVE-2024-1708 も報告されています。
CVE-2024-1709の大規模な悪用が始まっている
CVE-2024-1709 を悪用する概念実証が GitHub で公開され、侵害されたシステムに新しいユーザーを追加する方法が示されています。
サイバーセキュリティ企業Sophosは、2024年2月21日に複数の攻撃を観測しました。攻撃者はLockBitビルダーツールで構築されたランサムウェアを30の顧客ネットワークにドロップしました。重要な注意点:LockBitランサムウェアビルダーツールの使用は、LockBit開発者との関連性を意味するものではありません。特にLockBitのインフラは最近閉鎖されたばかりです。ビルダーにアクセスできるサイバー犯罪者であれば誰でもこれらの攻撃の背後にいる可能性があり、Sophosが観測した身代金要求メッセージには「buthtiRansom」の亜種が言及されていました。Sophosは、LockBitビルダーをベースにした別のランサムウェア「LockBit Black」も観測されましたが、顧客環境では展開に失敗したと述べています。
パスワードスティーラー、RAT、Cobalt Strikeペイロード
ランサムウェア以外のサイバーセキュリティ攻撃が、現在、ScreenConnect の公開された脆弱なインスタンスを襲っています。たとえば、CVE-2024-1709 の脆弱性を悪用したパスワード窃盗プログラム (Vidar/Redline など) や RAT (AsyncRAT など) も実際に確認されています。
Cobalt Strikeのペイロードは、公開されているScreenConnectインスタンスにも影響を与えています。ソフォスは、ScreenConnectが実行前にファイルをダウンロードする一時フォルダに.cmdファイルをドロップする同様の攻撃を3件確認しました。この.cmdファイルはPowerShellを起動して追加のペイロードをダウンロードしようとしましたが、エンドポイント保護によって失敗しました。
数千の公開されたScreenConnectインスタンス(ほとんどが米国のIPアドレス)
攻撃対象領域の検出と管理に特化したフランスのサイバー防御検索エンジンである ONYPHE が、公開された ScreenConnect インスタンスに関する統計情報を TechRepublic に提供しました。
2024年2月19日から25日の間に、ONYPHEはScreenConnectのユニークIPアドレス5,731件の露出を確認しました。そのうち3,284件がCVE-2024-1709の脆弱性を抱えていました。これらのインスタンスのほとんどは米国のIPアドレス(66.12%)で実行されており、次いでカナダ(7.84%)、英国(7.35%)となっています(図B)。
ConnectWise ScreenConnectの脆弱性を悪用された攻撃から身を守る方法
ConnectWise ScreenConnectの脆弱性を悪用した攻撃を検出する方法
検出に関しては、サーバーログで「/SetupWizard.aspx/」というパターンを探すことで、攻撃の試みを示唆する可能性があります。また、「%ProgramFiles(x86)%\ScreenConnect\App_Extensions」フォルダも監視する必要があります。このフォルダは、攻撃者のペイロードの保存と実行に利用される可能性があります。
ConnectWise ScreenConnectの脆弱性からビジネスを守る方法
ConnectWise社は、2024年2月23日のセキュリティ情報で、「メンテナンス対象外となったパートナーをサポートするために、例外的な措置として、追加料金なしでバージョン22.4をインストールできるようにし、CVE-2024-1709を修正しました」と述べています。
参照: TechRepublic Premiumからインシデント報告および対応手順ポリシーをダウンロードしてください
ConnectWiseは、オンプレミスのパートナーに対し、報告された脆弱性を修正するため、ScreenConnectを23.9.8以降に直ちにアップデートすることを推奨しています。また、ConnectWiseは、パッチ未適用のオンプレミスユーザー向けに、バージョン23.9.8以降でないインスタンスを停止する追加の緩和策も導入しました。
クラウドパートナーは、ConnectWise から報告された脆弱性への対策が完了しています。オンプレミスパートナーは、ScreenConnect の最新バージョンに直ちにアップグレードすることをお勧めします。ConnectWise はライセンス制限を解除したため、メンテナンス期間が終了したパートナーは、ScreenConnect の最新バージョンにアップグレードできます。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
