Last Updated on 2024-07-08 06:56 by 門倉 朋宏
2024年2月19日、ConnectWiseは、リモート監視および管理(RMM)ソフトウェアに関するセキュリティアドバイザリを発表した。このアドバイザリは、ScreenConnectの古いバージョンに影響を与える2つの脆弱性について警告しており、バージョン23.9.8以降で軽減されている。これらの脆弱性は「クリティカル」と評価されており、リモートコードの実行や機密データや重要システムへの直接的な影響を許す可能性がある。
脆弱性は以下の通りである:
– CVE-2024-1709(CWE-288):代替パスまたはチャネルを使用した認証バイパス。基本CVSSスコアは10で、「クリティカル」とされる。
– CVE-2024-1708(CWE-22):制限されたディレクトリへのパス名の不適切な制限(「パストラバーサル」)。基本CVSSスコアは8.4で、依然として「高優先度」と考えられる。
ScreenConnectのクラウドホスト型実装は、screenconnect.comおよびhostedrmm.comを含み、これらの脆弱性に対処するためのアップデートを既に受けている。自己ホスト型(オンプレミス)インスタンスは、手動でアップグレードされるまでリスクが残るため、直ちにScreenConnectバージョン23.9.8へのパッチ適用が推奨される。アップグレードはScreenConnectのダウンロードページで利用可能である。
2024年2月21日、これらの脆弱性を悪用し、侵害されたシステムに新しいユーザーを追加するプルーフ・オブ・コンセプト(PoC)コードがGitHubに公開された。ConnectWiseは、これらの脆弱性の野外での活発な悪用が観察されたとして、初期報告を更新した。
対処方法として、オンプレミスデプロイメントの有無を確認し、23.9.8以降のバージョンにない場合は最新バージョンへのアップグレードを行う。クラウドホスト型の場合や、既に23.9.8以降のバージョンを使用している場合は、リスクがなく、追加の対応は不要である。パッチが適用されるまでScreenConnectサーバーがインターネットにアクセスできないようにすることも推奨される。パッチ適用後は、ScreenConnectのインストールを徹底的にレビューし、未知のアカウントや異常なサーバー活動を探す。
Sophosは、これらのScreenConnect脆弱性とその悪用の進行状況を積極的に追跡しており、検出ルールを実装して悪用活動を特定している。また、公開されたプルーフ・オブ・コンセプトやその他の将来の悪用に対抗するため、予防ルールとネットワークベースの署名のテストを行っている。MDR(Managed Detection and Response)顧客に対しては、顧客全体の脅威ハンティングキャンペーンを開始し、活動が観察された場合は迅速に連絡を取る。
【ニュース解説】
2024年2月19日、リモート監視および管理(RMM)ソフトウェアを提供するConnectWiseは、同社の製品であるScreenConnectに関するセキュリティアドバイザリを発表しました。このアドバイザリでは、ScreenConnectの古いバージョンに影響を及ぼす2つの重大な脆弱性について警告しており、これらはバージョン23.9.8以降で対策が施されています。これらの脆弱性は、リモートからのコード実行や機密データ、重要システムへの直接的な影響を許す可能性があるとして「クリティカル」と評価されています。
具体的には、CVE-2024-1709は認証を回避するための代替パスまたはチャネルを使用する脆弱性で、最も深刻なリスクを示すCVSSスコア10を受けています。一方、CVE-2024-1708は、制限されたディレクトリへのパス名の制限を不適切に行うことによる脆弱性で、CVSSスコア8.4と高い優先度を持っています。
これらの脆弱性に対するアップデートは、ScreenConnectのクラウドホスト型実装には既に適用されていますが、自己ホスト型(オンプレミス)のインスタンスは手動でアップグレードする必要があります。特に、2024年2月21日にはこれらの脆弱性を悪用し、侵害されたシステムに新しいユーザーを追加するプルーフ・オブ・コンセプト(PoC)コードが公開され、実際に野外での悪用が観察されていると報告されています。
このような状況を踏まえ、オンプレミスでScreenConnectを運用しているユーザーは、速やかに最新バージョンへのアップグレードを行うことが推奨されます。また、アップグレードがすぐには行えない場合は、ScreenConnectサーバーがインターネットからアクセスできないようにすることが求められます。アップグレード後は、未知のアカウントの存在や異常なサーバー活動の有無を確認することが重要です。
セキュリティ企業Sophosは、これらの脆弱性とその悪用に関する進行状況を積極的に追跡し、検出ルールを実装しています。また、MDR(Managed Detection and Response)顧客に対しては、脅威ハンティングキャンペーンを開始し、活動が観察された場合には迅速に対応を行っています。
この事例は、ソフトウェアのセキュリティ脆弱性がいかに深刻な影響を及ぼす可能性があるかを示しています。特に、リモート監視および管理ソフトウェアは、多くの企業や組織で広く利用されているため、こうした脆弱性の発見と迅速な対応は、広範囲にわたるセキュリティリスクの軽減に不可欠です。ユーザー、特にオンプレミスでソフトウェアを運用している場合は、定期的なアップデートとセキュリティチェックの実施が重要となります。
“重大セキュリティ脆弱性警告:ConnectWiseがScreenConnectユーザーに緊急アップデートを呼びかけ” への1件のコメント
このニュースについて、非常に重要なポイントがいくつかありますね。まず、リモート監視および管理(RMM)ソフトウェアに関するセキュリティ脆弱性は、今日のビジネス環境において深刻なリスクをもたらします。私たち営業セールスマンは、クライアントへの提案やデモンストレーションの際にも、セキュリティは常に最優先事項となっています。特に、ConnectWiseのようなリモートアクセスツールは、クライアントのシステムへのアクセスやサポートを提供するために頻繁に使用されるため、こうした脆弱性は直接的なビジネスのリスクとなります。
この事例では、特にCVE-2024-1709とCVE-2024-1708という2つの重大な脆弱性が指摘されており、これらはリモートからのコード宧行使や機密データへのアクセスを可能にするという点で、「クリティカル」と評価されています。このような脆弱性が悪用されることは、企業の信頼性やデータの安全性を著しく損なう可能性があります。
私たちのような営業職の人間にとって、このような技術的な問題に直面すると、専門的な知識が求められる場合がありますが、基本的には、使用しているツールやソフトウェアが常に最新の状