CVE-2024-1709 & 1708: ScreenConnect Vulnerabilities Under Active Attack
2024/02/21 SecurityOnline — 2024年2月に発生した、ConnectWise ScreenConnect に存在する脆弱性が、とても憂慮すべき状況を生み出している。この RDP ソフトウェアの、パストラバーサルと認証バイパスの脆弱性により、ConnectWise ユーザーの安全が心配されるが、すでに活発な悪用が確認されているという。
脆弱性
CVE-2024-1708 (CVSS:8.4): このパストラバーサルの脆弱性の悪用に成功した攻撃者は、悪意のコードの実行や、機密データの窃取を可能にする。ScreenConnect バージョン 23.9.7 以下に影響が及ぶ。
CVE-2024-1709 (CVSS:10): この認証バイパスの悪用に成功した攻撃者は、バックドアを仕掛け、重要なシステムやデータへの侵害を可能にする。ScreenConnect バージョン 23.9.7 以下に影響が及ぶ。
重大な懸念
特に、脆弱性 CVE-2024-1709 は危険である。その悪用は驚くほど簡単であり、すでに GitHub 上に PoC エクスプロイトが存在している。
Unit 42 のセキュリティ研究者は、サイバー犯罪者と APT グループの両方が、この脆弱性を悪用する可能性が高いと警告している。ConnectWise 自身も、これらの脆弱性を介して侵害されたアカウントを確認している。
グローバルな脅威
2024年2月21日の時点で、Unit 42 の研究者たちは、ScreenConnect を実行している 18,000 を超える固有 IP アドレスを特定した。これらのシステムの 75% ほどが米国に集中し、巨大なターゲット・ゾーンが形成されている。
あなたは何をすべきか?
セルフホスト型デプロイメントで迅速に対応すべきアクション: セルフホストまたはオンプレミスの ScreenConnect ソリューションを運用している場合には、バージョン 23.9.10.8817 へと遅滞なくアップグレードする必要がある。
クラウド・ユーザーは安全: ConnectWise のクラウド・ホスティング (screenconnect[.]com または hostedrmm[.]com) を利用しているユーザーは、すでに保護されている。したがって、対応は必要ない。
なぜ緊急なのか?
過去の侵害事例から、このような脆弱性が公開されると、攻撃は急速にエスカレートする。ハッカーたちは、以下のアクションを躊躇せずに試行する:
- ランサムウェアの展開: 重要システムの機能を奪い、ユーザー企業に対して高額な身代金支払いを強要する。
- データ窃取: 重要かつ貴重な、顧客情報/企業秘密などを盗み出し、その他にも、武器化または販売可能なデータなどを流出させる。
- 橋頭堡の構築: これらの脆弱性は、ネットワーク内における横方向への移動を可能にするため、多くのシステムが危険な状態に陥る。
パッチ適用と警戒が重要:アップデートは当面の安全策である。しかし、今後の数週間は警戒を怠ってはならない。ScreenConnect ホストからの異常なアクティビティついてネットワークログを監視し、最新の脅威インテリジェンス・レポートに注意してほしい。
ConnectWise ScreenConnect の脆弱性 CVE-2024-1709/CVE-2024-1708 ですが、第一報は 2024/02/20 の「ConnectWise ScreenConnect の2つの深刻な脆弱性が FIX:直ちにアップデートを!」であり、この記事で CVE が追加されたという状況です。今日の記事では、Unit 42 のレポートと、GitHub 上の PoC 情報 (CVE-2024-1709) も追加されています。なお、この脆弱性は、2月22日付で CISA KEV にも登録されています。
IoT OT Security News 
You must be logged in to post a comment.