ConnectWise Patches Critical ViewState RCE Vulnerability in ScreenConnect
2025/04/26 SecurityOnline — ConnectWise が発表したのは、ScreenConnect のバージョン 25.2.3 以下に存在する、コード・インジェクションの脆弱性 CVE-2025-3935 (CVSS:8.1) に対処する、セキュリティ情報である。この脆弱性は、ASP.NET の ViewState メカニズムに関連するものであり、マシンキーが侵害された場合において、影響を受けるサーバ上でのリモート・コード実行 (RCE) の可能性が生じる。
このセキュリティ情報には、「ScreenConnect のバージョン 25.2.3 以下には、ViewState コード・インジェクション攻撃の影響を受ける可能性がある」と記されている。
ASP.NET Web フォームは、ViewState を使用することで、リクエスト間で制御とページの状態を保持するものだ。これらの状態は Base64 でエンコードされ、マシンキーにより保護されるため、整合性と機密性が確保されている。
しかし、ConnectWise は、「これらのマシンキーを取得するには、特権システム・レベルのアクセスを取得する必要がある。そして、これらのマシンキーが侵害された場合には、攻撃者は悪意の ViewState を作成して Web サイトに送信し、サーバ上でのリモートコード実行を引き起こす可能性を手にする」と強調している。
つまり、このエクスプロイトは容易ではなく、暗号化キーを漏洩させる前提として、事前のアクセスまたは別の脆弱性の悪用が必要になるが、いったん悪用された場合の影響は深刻である。
ConnectWise は、「当社のパッチは ViewState を無効化し、ViewState への依存関係を、すべて削除する」と述べている。
この問題は ScreenConnect に固有のものではないと指摘する ConnectWise は、「この問題は、ASP.NET フレームワークの ViewState を利用する、あらゆる製品に対して潜在的に影響を及ぼす可能性があり、ScreenConnect も例外ではないことを、理解することが重要となる」と強調している。
この問題は、従来からの ASP.NET 実装におけるクラス全体の欠陥を示しており、ScreenConnect だけではなく、多数のエンタープライズ製品に影響を与える可能性がある。
オンプレミス環境の ScreenConnect バージョン 25.2.3 以下は、この脆弱性の影響を受ける。”screenconnect.com” および “hostedrmm.com” において、クラウド・ホストされている環境は、すでに ConnectWise による更新が完了しているため、ユーザーによる操作は不要である。
- メンテナンス契約を締結しているユーザー:ConnectWise のダウンロード・ページにアクセスし、バージョン 25.2.4 へと速やかにアップグレードしてほしい。
- メンテナンス契約のないユーザー:ConnectWise は、有効なメンテナンス契約を持たないユーザーに対しても、23.9 以降のバージョンに対応するセキュリティ・パッチを無償で提供している。
ConnectWise が、すべてのパートナーも強く推奨するのは、迅速なアップデートの適用である。なお、ScreenConnect の最新リリースには、セキュリティ・アップデート/バグ修正に加えて、機能の強化が取り込まれている。
ConnectWise に深刻な RCE 脆弱性が発生しています。ご利用のチームは、アップデートをお急ぎください。なお、今年の2月には、ConnectWise の別の脆弱性や ViewState を狙った攻撃が報告されています。よろしければ、以下の関連記事も、ConnectWise で検索と併せてご参照ください。
2025/02/16:ConnectWise/Fortinet を狙うロシアの BadPilot
2025/02/06:ViewState を悪用するマルウェアを検出
IoT OT Security News 
You must be logged in to post a comment.