Last Updated on 2024-06-27 10:14 by admin

ConnectWiseは、そのScreenConnectリモートデスクトップおよびアクセスソフトウェアにおける2つのセキュリティ欠陥に対処するためのソフトウェアアップデートをリリースした。これには、影響を受けるシステム上でリモートコード実行を可能にする可能性がある重大なバグが含まれる。これらの脆弱性には現在CVE識別子が割り当てられていないが、以下の通りである：

– 認証バイパス（CVSSスコア：10.0）
– パス名の不適切な制限（パストラバーサル）（CVSSスコア：8.4）

これらの問題は、ScreenConnectのバージョン23.9.7およびそれ以前のバージョンに影響を与え、バージョン23.9.8で修正が利用可能である。これらの欠陥は2024年2月13日に同社に報告された。これらの不具合が野外で悪用された証拠はないが、自己ホスト型またはオンプレミス型のバージョンを実行しているユーザーには、できるだけ早く最新バージョンに更新することが推奨される。ConnectWiseは、重大な問題に対してリリース22.4から23.9.7までの更新版を提供するが、パートナーにはScreenConnectバージョン23.9.8への更新を強く推奨している。

【ニュース解説】

ConnectWise社のScreenConnectリモートデスクトップおよびアクセスソフトウェアにおいて、2つのセキュリティ脆弱性が発見されました。これらの脆弱性は、影響を受けるシステムにおいてリモートからのコード実行を可能にする可能性があるとされ、非常に重大な問題とされています。具体的には、「認証バイパス」と「パストラバーサル（パス名の不適切な制限）」という2つの問題が指摘されており、それぞれCVSSスコア10.0と8.4と評価されています。これらの問題は、バージョン23.9.7およびそれ以前のScreenConnectに影響を与え、バージョン23.9.8で修正されています。

認証バイパスは、不正な方法でシステムの認証を回避し、権限を持たないユーザーがシステムにアクセスできるようになる脆弱性です。これにより、悪意のある攻撃者がシステムを乗っ取り、機密情報にアクセスしたり、システムを損傷させたりする可能性があります。一方、パストラバーサルは、攻撃者がシステム上で任意のファイルやディレクトリにアクセスできるようになる脆弱性で、これもまた重大なセキュリティリスクをもたらします。

これらの脆弱性の発見と修正は、リモートアクセスソフトウェアのセキュリティに対する注意を改めて喚起するものです。リモートワークの普及に伴い、こうしたソフトウェアの利用は増加しており、セキュリティ対策の重要性が高まっています。ユーザーは、提供されたアップデートを迅速に適用し、システムのセキュリティを確保することが求められます。

また、このような脆弱性の発見と修正は、ソフトウェア開発者にとっても重要な教訓です。セキュリティはソフトウェア開発の初期段階から考慮されるべきであり、定期的なセキュリティチェックとアップデートの提供が不可欠です。さらに、ユーザーからの報告に迅速に対応し、透明性を持って情報を共有することも、信頼の維持には欠かせません。

最後に、このニュースは、セキュリティ脆弱性に対する継続的な警戒と、ソフトウェアの定期的なアップデートの重要性を改めて示しています。ユーザー、開発者、そしてセキュリティ専門家が一丸となって、サイバーセキュリティの向上に努めることが求められます。

from Critical Flaws Found in ConnectWise ScreenConnect Software – Patch Now.

admin

自己紹介の全文を表示