New ScreenConnect RCE flaw exploited in ransomware attacks
2024/02/22 BleepingComputer — ConnectWise ScreenConnect に存在する脆弱性の悪用に成功した攻撃者が、パッチ未適用のサーバに侵入し、侵害したネットワーク上に LockBit ランサムウェアのペイロードを展開している。この 認証バイパスの脆弱性 CVE-2024-1709 (CVSS:10.0) の悪用が始まったのは、ConnectWise がセキュリティ更新プログラムをリリースし、複数のサイバー・セキュリティ企業が PoC エクスプロイトを公開した翌日の、2月20日 (火) からである。さらに ConnectWise は、深刻度の高いパス・トラバーサル脆弱性 CVE-2024-1708 に対しても、パッチを適用している。
この2つのセキュリティ・バグは、ScreenConnect の全バージョンに影響するため、2月21日 (水) の時点で同社は、すべてのライセンス制限を解除し、期限切れのライセンスを持つ顧客に対して、最新ソフトウェア・バージョンにアップグレードを促した。それにより、この攻撃からサーバの保護が可能になっている。
そして 2月22日 (木) には、CISA KEV カタログに脆弱性 CVE-2024-1709 が追加され、2月29日までの1週間においてサーバを保護するよう、米連邦政府機関に対する指令が出された。
セキュリティ脅威監視プラットフォーム Shadowserver によると、脆弱性 CVE-2024-1709 を持つサーバが、現時点で 643 の IP から標的にされているという。その一方で Shodan は、8,659 台以上の ScreenConnect サーバを追跡しているが、その 980 台だけが、パッチ適用されたバージョン 23.9.8 を実行している状況だとしている。
LockBit ランサムウェア攻撃で悪用される
2月22日 (木) に Sophos X-Ops が明らかにしたのは、ScreenConnect の2つの脆弱性の悪用に成功した脅威アクターたちが、被害者のシステムに LockBit ランサムウェアを展開していることである。
Sophos の Threat Response Task Force は、「この 24時間の間に、ConnectWise ScreenConnect の脆弱性 CVE-2024-1708/CVE-2024-1709 を悪用する、複数の LockBit 攻撃が確認されている。その点について、興味深いことが2つある。1つ目は、他のユーザーも指摘しているように、ScreenConnect の脆弱性が野放し状態で活発に悪用されていることだ。2つ目は、法的執行機関による LockBit のテイクダウンにも拘らず、いくつかのアフィリエイトが、依然として稼働している可能性だ」と述べている。
サイバー・セキュリティ企業 Huntress は調査結果を確認した上で、「911 システムにリンクしていると思われる、地方自治体と医療クリニックのシステムも、脆弱性 CVE-2024-1709 を悪用してネットワークに侵入した、LockBit ランサムウェア・ギャングに攻撃されている」と、BleepingComputer に語っている。
Huntress は電子メールで、「展開されているマルウェアが、Lockbit に関連するものだと確認できた。私たちが検出した攻撃が、大規模な LockBit グループに起因するものとは断定できない。法執行機関による大規模なテイクダウンが実施された Lockbit だが、完全に消去されていないツールが存在し、各種のアフィリエイトや分派にまたがる、大規模なリーチが存続しているのは明らかだ」と述べている。
Operation Cronos により解体された LockBit
英国の National Crime Agency (NCA) が主導した Operation Cronos という世界的な法執行活動により、LockBit ランサムウェアのインフラは、2月19日 (月) の時点でダークウェブのリークサイトが押収されている。
この共同作戦の一環として日本の警察庁は、押収した Lockbit サーバから取り出した 1,000以上の復号化キーを使用して、無料の Lockbit 3.0 Black Ransomware 復号化ツールを開発し、No More Ransom ポータルで公開している。
Operation Cronos の最中に、ポーランドとウクライナでは、複数の Lockbit アフィリエイトが逮捕され、フランスと米国の当局では、Lockbit 脅威アクターたちに対する、3件の国際逮捕状と5件の起訴状が発行された。米国司法省は、このうち2件の起訴状について、ロシアの容疑者 Artur Sungatov と Ivan Gennadievich Kondratiev (別名Bassterlord) に対するものだと述べている。
さらに法執行機関は、Lockbit から押収したダークウェブのリークサイトで追加情報を公開し、2019年9月に出現した Lockbit には、少なくとも 188 のアフィリエイトがいたことを明らかにした。
これまでの4年間において Lockbit は、Boeing/自動車大手/英国ロイヤルメール/イタリア内国歳入庁などの、世界中の大規模組織や政府組織への攻撃を主張してきた。
いま米国務省は、Lockbit ランサムウェア・ギャング・メンバーと、その仲間に関する情報提供に対して、最高で $15 million の報奨金を提示している。
今日の記事で BleepingComputer が報告したように、LockBit-NG-Dev (LockBit 4.0 ?) と名付けられた新しいマルウェアのバージョンに、LockBit の開発者たちは密かに取り組んでいた。
この ConnectWise の脆弱性ですが、これまでの経緯としては、2024/02/20 の「ConnectWise ScreenConnect の2つの深刻な脆弱性が FIX:直ちにアップデートを!」と、2024/02/21 の「ConnectWise ScreenConnect の脆弱性は CVE-2024-1709/1708:すでに悪用を観測」が報道されています。また、Lockbit の押収に関しては、2024/02/21 の「LockBit ランサムウェア:世界の法執行機関によりテイクダウン」をご参照ください。数日の間に、いろんなことが急展開という感じですね。
IoT OT Security News 
You must be logged in to post a comment.