ConnectWise ScreenConnect の2つの深刻な脆弱性が FIX:PoC も提供される

Critical ConnectWise ScreenConnect vulnerabilities fixed, patch ASAP!

2024/02/20 HelpNetSecurity — ConnectWise ScreenConnect に存在する、2つの脆弱性が修正された。これらの脆弱性の悪用に成功した攻撃者には、リモート・コード実行が許され、機密データや重要なシステムに影響が生じる可能性がある。ConnectWise は、「これらの脆弱性が悪用されたという証拠はないが、オンプレミスのユーザーは、これらのセキュリティ・リスクに対処するため、早急に対策を講じる必要がある」と警告している。

ConnectWise ScreenConnect とは

ConnectWise ScreenConnect (旧 ConnectWise Control) は、リモート・デスクトップ・ソフトウェア・ソリューションであり、その利用者は、マネージド・サービス・プロバイダーと、その顧客である企業に加えて、ヘルプデスク・チームなどにまで広がっている。

同製品は、クラウド・ホスティングの SaaS として提供される他に、セルフ・ホスティングのサーバー・アプリケーション (クラウドまたはオンプレミス) として導入されるケースもある。クライアント・ソフトウェアをダウンロードすれば、リモート・アシスタンスの利用も可能になる。

この ConnectWise ScreenConnect は、ランサムウェア・ギャングや技術サポート詐欺師などの、サイバー犯罪者にも人気がある。

2022年の後半に、ConnectWise は、クラウド・ホスティング・サービスのトライアル・アカウントのカスタマイズ機能を無効にした。その背景には、脅威アクターがブランドのサポート・ポータルを作成し、従業員を騙して悪意のリモート・アクセス・セッションに参加させるのを防ぐという目的があった。

ConnectWise ScreenConnect の脆弱性について

新たに発見された2つの脆弱性は、ScreenConnect 23.9.7 以下のバージョンに影響するものだが、現時点において、CVE 番号は割り当てられていない。それぞれの脆弱性の詳細は下記の通りだ:

  • 代替パスまたはチャネルを使用した、認証バイパスの脆弱性
  • パストラバーサル (制限されたディレクトリへの、パス名の不適切な制限) の脆弱性

これらの脆弱性の報告は、2024年2月13日に ConnectWise の脆弱性情報公開チャンネルを介して行われた。

現在のところ、これらの脆弱性が悪用されたという証拠はない。しかし ConnectWise は、これらの脆弱性は悪用の標的にされる危険性が高いとしている。

同社は、「セルフホスト型/オンプレミス型のユーザーは、直ちにサーバーをバージョン 23.9.8 にアップデートし、パッチを適用してほしい。今後において、これらの脆弱性の修正のために、22.4〜23.9.7 の更新リリースを予定している。しかし、ScreenConnect のバージョン 23.9.8 に更新することを、強く推奨する」と述べている。

UPDATE:February 21, 2024, 04:32 a.m. ET

ConnectWise はアドバイザリを更新し、この認証バイパスの脆弱性を悪用する攻撃について、侵害の指標 (IPアドレス) を追加した。同社は「当社のインシデント対応チームが、侵害されたアカウントのアップデートを受け取り、確認した。これらの追加した指標は、サイバーセキュリティ・モニタリング・プラットフォームに組み込むことが可能であり、進行中のサイバー攻撃を阻止するのに役立つ。つまり、ランサムウェアやマルウェアなどの脅威により、データ侵害が引き起こされる前に、この IOC を使用することで、検出/阻止の方法を見つけ出すことが可能になる」と述べている。

また、WatchTowr Labs は、この脆弱性を悪用する RCE チェーンの最初のステップとしての PoC エクスプロイトを発表し、ScreenConnect に新しい管理ユーザーを追加する方式を実証した。

さらに、Huntress の研究者たちも、現時点では未公開であるが、PoC エクスプロイトを作成したとしている。同社は、「管理者がシステムにパッチを当てるまえに、脆弱なシステムを一時的にホットフィックスする方法を特定した」と述べている。

ConnectWise/WatchTowr Labs/Huntress の三社から、追加の情報が提供されています。それらの資料には、これらの脆弱性を CVE-2024-1708/CVE-2024-1709 と特定しているものもあります。また、後者の CVE-2024-1709 は、2月22日付で、CISA KEV にも追加されています。連邦政府機関に対する期限の設定は、2月29日までの1週間となっているので、かなり深刻な状況なのだと推測されます。