Critical ConnectWise Vulnerability Affects Thousands of Internet-Exposed Servers
2022/10/31 SecurityWeek — 金量日に IT 管理ソフトウェア・プロバイダーである ConnectWise は、数千台のサーバが攻撃にさらされる深刻な脆弱性にパッチを当てるアップデートを発表したと、サイバー・セキュリティの専門家たちが述べている。この欠陥は、「下流のコンポーネントが使用する出力における、特殊要素の不適切な無効化」と説明され、ConnectWise の Recover Backup と Disaster Recovery (v2.9.7 以前) および、R1Soft Server Backup Manager (v6.16.3 以前) に影響を及ぼすとされる。
この脆弱性により、リモートでコードが実行されるという深刻な事態が生じる恐れがある。ConnectWise は優先度評価を1としており、この脆弱性を狙うハッカーの存在や、野放し状態での悪用の危険性が高いことを示唆している。
ConnectWise Recover のユーザーには v2.9.9 へ、R1Soft のユーザーには v.16.4 へと、迅速なアップデートが必要だという警告が発せられている。
この脆弱性は、MDR 企業である Huntress の研究者たちにより発見された。同社の CEO である Kyle Hanslovan は、早ければ月曜日に詳細を発表できると述べ、ConnectWise によるパッチに対しては検証中だと指摘している。
Hanslovan によると、Huntress の研究者たちは、インターネットに公開された約 5000台の R1Soft サーバ (大半は北米とヨーロッパに所在) に対して、ランサムウェアを送り込む方法を示したという。また Hanslovan は、被害を受けたシステムの多くがクラウド・ホスティング・プロバイダーや MSP に属していることを考慮し、サプライチェーンに影響を与える可能性があることも確認している。
サイバー・セキュリティ業界における懸念は、脆弱性の存在とパッチの提供が、金曜日に発表されたことである。つまり、影響を受けたサーバが月曜日までパッチ未適用となり、週末に攻撃が始まる可能性があるという点だ。
ConnectWise の製品は、これまでにもランサムウェア攻撃で悪用されてきた。
UPDATE : Huntress は、調査結果の詳細をブログで発表した。同社によると、実際に悪用された事例はないとのことだ。その一方で、同社の研究者たちは、この脆弱性を悪用することで、認証回避/任意のコード実行を施行し、下流の全エンドポイントに LockBit ランサムウェアをプッシュする、PoC エクスプロイトを開発したと述べている。
ConnectWise + Vulnerability で検索したところ、10月28日付の ConnectWise Recover and R1Soft Server Backup Manager Critical Security Release というアドバイザが見つかりました。Critical と評価されていましが、CVE は採番されていないようです。なお、このブログで ConnectWise が登場しているのは、2021年12月の「Yanluowang ランサムウェアが米国の金融業界を狙っている」という記事であり、「Yanluowang ランサムウェア攻撃の、リモートアクセス・ツール ConnectWise も導入されている」と記されています。そして、この Yanluowang は、先日に Cisco 侵害を引き起こしている、サイバー犯罪グループです。よろしければ、Yanluowang で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.