ScreenConnect の脆弱性 CVE-2024-1709／CVE-2024-1708：活発な悪用が確認された

ScreenConnect flaws exploited to deliver all kinds of malware (CVE-2024-1709, CVE-2024-1708)

2024/02/26 HelpNetSecurity — 先日にパッチが適用された、ConnectWise ScreenConnect ソフトウェアの脆弱性 CVE-2024-1709／CVE-2024-1708 が、多くの攻撃者に悪用されており、様々な悪意のペイロードが配信されている。

ConnectWise ScreenConnect とは

ConnectWise ScreenConnect は、サーバー要素とクライアント要素 (アプリケーション) で構成される、リモート・デスクトップ・ソリューションである。

そのサーバ・エレメントは、ConnectWise のサービスとして提供される場合もあれば、オンプレミス／クラウド上の自社サーバーに、顧客がインストールすることもできる。クライアント・ソフトウェアは、ワークステーションなどのエンドポイントに必要に応じてインストールされ、エンドポイントへのリモート・アクセスを可能にする。

そのため ConnectWise ScreenConnect は、技術支援やデータセンターの遠隔管理などで多用されている。しかし、それと同時に、攻撃者に人気のソリューションにもなっている。攻撃者たちは、多数の企業エンドポイントに簡単にアクセスして侵害するために、このツールを悪用している。

脆弱性とパッチ

これらの脆弱性は、ConnectWise ScreenConnect のサーバ・コンポーネント 23.9.7 以下に影響を及ぼす。

認証バイパスの脆弱性 CVE-2024-1709 の悪用に成功した攻撃者は、脆弱なインスタンス上でシステム管理者アカウントを作成し、悪意のアクションの実行を可能にする。また、パス・トラバーサルの脆弱性 CVE-2024-1708 の悪用に成功した攻撃者は、脆弱なインスタンス上でのリモート・コード実行を可能にする。

これらの脆弱性は、2月13日に非公開で報告された。その後の２日の間に ConnectWise は、クラウド環境と全てのクラウド・インスタンスにパッチを適用した。さらに 2月19日には ScreenConnect の顧客に対して、オンプレミス・インスタンスを修正されたバージョン 23.9.8 に、直ちにアップグレードするよう通知した。

その後に、ScreenConnect の実環境での悪用が確認されたことで、ライセンス制限のない新バージョンのサーバー・ソフトウェア (23.9.10.8817／22.4) がリリースされた。そのため、メンテナンスが終了しているユーザーであっても、CVE-2024-1709 または２つの脆弱性に対するパッチの入手が可能な状態になった。

CVE-2024-1709 の悪用： 攻撃とマルウェア

CVE-2024-1709 の PoC エクスプロイトが公開されてから、さまざまな攻撃者が、企業ネットワークへの侵入手段として、脆弱性のある一般向け ScreenConnect サーバを狙い始めている。

Google の子会社である Mandiant は、「我々は、さまざまな脅威アクターが一連の脆弱性を大規模に悪用していることを確認した。その多くは、ランサムウェアを展開しており、多角的な恐喝を行うだろう」と述べている。

Sophos の X-Ops タスクフォースは、以前にリークされた、LockBit ビルダーにより生成された２種類のランサムウェアの亜種が、攻撃者たちにより配信されているのを発見している。さらに、インフォ・スティーラー／RAT／ワーム／Cobalt Strike ペイロードや、SimpleHelp／Google Chrome Remote Desktop などのリモート・アクセス・クライアントも発見されたという。

Huntress の研究者たちも、これらの攻撃の一部を発見しているが、その他にも、暗号通貨マイナー／SSH バックドア／永続的なリバースシェルのセットアップなどに関与する攻撃も発見している。

調査と修復

セルフホスト型の ScreenConnect インスタンスのアップグレードが間に合わず、攻撃者に侵害されてしまった場合には、侵害の証拠を探す必要がある。さらに、攻撃者が企業ネットワークに潜り込んだ深度を突き止め、影響を受けた全てのシステムをクリーニングして起動させるという、手間のかかるプロセスが発生する。

Sophos X-Ops は、「ScreenConnect を使用している場合は、直ちに脆弱性のあるサーバとクライアントを隔離し、パッチを適用して、侵害の兆候を確認する必要がある。我々は、サーバとクライアント・マシンの両方に対する攻撃が、現時点で進行中だという証拠を掴んでいる。サーバにパッチを適用しても、パッチを当てる前に展開されたマルウェアや Web シェルは、除去することができない」と警告している。

Mandiant は、調査のプロセスを公開し、防御側を支援するための実行可能な、修復アドバイスとハードニング推奨事項を提供している。

2024年2月に発見された、ConnectWise の脆弱性に関する記事も、これで４本目となります。Lockbit による攻撃が観測された直後に、このランサムウェアがテイクダウンされ、その後に復活するという要因も加わり、ちょっと混沌とした感じがしています。よろしければ、ConnectWise で検索も、ご利用ください。