ConnectWise Hit by Cyberattack; Nation-State Actor Suspected in Targeted Breach
2025/05/30 TheHackerNews — ConnectWise が明らかにしたのは、同社のリモート・アクセス/サポート・ソフトウェア ScreenConnect が、国家レベルの脅威アクターによると推測される、サイバー攻撃の被害を受けたことだ。2025年5月28日に公表された、簡潔なアドバイザリの中で ConnectWise は、「最近のことだが、当社の環境内で、国家レベルの高度な脅威アクターによると思われる、不審な活動を確認した。この活動は、ごく少数の ScreenConnect ユーザーに影響を与えた」と述べている。
このインシデントのフォレンジック調査を行うため、同社は Google Mandiant のサービスを利用し、影響を受けた全顧客に通知したと述べている。このインシデントを最初に報じたのは CRN である。ただし、ハッキングの影響を受けた顧客の正確な数および発生時期や、背後で操る脅威アクターの身元は明らかにされていない。
2025年4月下旬に同社は、ScreenConnect のバージョン25.2.3 以下にパッチを適用し、深刻度の高い脆弱性 CVE-2025-3935 (CVSS:8.1) に対処している。公開されている ASP.NET マシンキーを悪用する、ViewState コード・インジェクション攻撃に、この脆弱性が悪用される可能性があるという。この攻撃手法については、2025年2月初旬の時点で Microsoft が、攻撃者により積極的に悪用されていると公表していた。
すでに、この問題は、ScreenConnect バージョン 25.2.4 で修正されている。ただし、この脆弱性の悪用と、今回のサイバー攻撃との関連性については、現時点では不明である。
ConnectWise は、このような攻撃が再発しないように、自社の環境全体で監視とセキュリティ強化策を実施したと述べている。同社は、「ユーザーのインスタンスにおいて、これ以上の不審な活動は確認されていない。継続して、状況を注視している」と述べている。
2024年の初頭にも、ConnectWise ScreenConnect ソフトウェアの脆弱性 CVE-2024-1708/CVE-2024-1709 が、中国/北朝鮮/ロシアなどの APT とサイバー犯罪者により悪用され、さまざまな悪意のペイロードが配信されている。
この記事は、ConnectWise の ScreenConnect に対する国家レベルのサイバー攻撃に関するもので、企業が直面する高度な脅威の深刻さを示しています。Mandiant が関与した調査と、対応の速さは評価されますが、影響範囲の不透明さに、少し不安を感じまる。過去の脆弱性との関連性も含め、継続的な監視が重要なのうでしょう。よろしければ、ConnectWise ScreenConnect で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.