Critical ScreenConnect Vulnerability Let Attackers Expose Sensitive Configuration Data
2025/12/16 CyberSecurityNews — ConnectWise が公開したのは、ScreenConnect のセキュリティ・アップデートである。そこで修正された脆弱性 CVE-2025-14265 は、ScreenConnect サーバ・コンポーネントのみに影響するものであるが、悪用に成功した攻撃者は、機密情報/設定データを漏洩させ、信頼されていないエクステンションをインストールする可能性を得る。ただし、この脆弱性は、ホスト・クライアントおよびゲスト・クライアントには影響しない。脆弱性 CVE-2025-14265 は、エクステンションのインストール時における、コード整合性の不適切な検証に起因し、CWE-494 (整合性チェックなしのコード・ダウンロード) に分類される。
CVE-2025-14265 の CVSS 3.1 のベース・スコアは 9.1 (Critical) と評価されている。それが示すのは、特定の条件下での機密情報への不正アクセスやシステム・リソースの侵害が発生するリスクである。この脆弱性を悪用するには、認証済みまたは管理者レベルのアクセスが必要である。ConnectWise によると、現時点で実環境における悪用インシデントは確認されていないという。
| CVE ID | CWE ID | Description | Base Score |
|---|---|---|---|
| CVE-2025-14265 | CWE-494 | Download of Code Without Integrity Check | 9.1 |
しかし、この脆弱性の深刻度評価とネットワーク・ベースの攻撃ベクター (AV:N) が強調するのは、迅速な修正の必要性である。すでに ConnectWise は、ScreenConnect 25.8 でパッチ・アップデートをリリースし、サーバ側の検証を強化している。具体的には、エクステンションのインストール時に整合性チェックを強制することで、プラットフォーム全体のセキュリティを向上させる。
ScreenConnect バージョン 25.8 未満は影響を受けるため、直ちに更新する必要がある。ただし、”screenconnect.com” または “hostedrmm.com” 上のクラウド・ホスト型インストールでは、自動的にアップデートが適用されている。
オンプレミス環境のパートナーやゲスト・クライアントに推奨されるのは、ScreenConnect バージョン 25.8 への速やかなアップグレードである。また、Automate と連携しているパートナーは、ScreenConnect 25.8 へアップグレードする前に、Automate ScreenConnect エクステンションがバージョン 4.4.0.16 に更新されていることを確認する必要がある。
ConnectWise は、この脆弱性を優先度2 (Medium) と評価し、通常の変更管理プロセスを通じて 30 日以内に更新することを推奨している。ユーザー組織に求められるのは優先的なパッチ適用であり、機密データ/設定データへの不正アクセスを防止し、安全なリモート・アクセス・インフラを維持する必要がある。
ScreenConnect の脆弱性 CVE-2025-14265 について、大切なポイントをまとめる記事です。この問題の原因は、サーバーに新しい機能を追加するエクステンションをインストールする際に、そのプログラムが信頼できるものかどうかを確認する “整合性チェック” が不十分だったことにあります。この不備により、本来であれば拒否されるはずの、信頼できないプログラムが、システムに入り込んでしまう欠陥がありました。影響を受けるのはサーバ側のコンポーネントのみですが、機密情報の漏洩にもつながる可能性があるため、速やかな対応が推奨されています。ご利用のチームは、ご注意ください。よろしければ、ScreenConnect での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.