またも狙われたリモートデスクトップ 脆弱性対応が急務

リモートデスクトップソフトウェアはリモートアクセスを提供するため、サイバー攻撃者に狙われやすい。脆弱性が見つかった場合、すぐにでも攻撃が始まる可能性がある。

[David Jones，Cybersecurity Dive]

　セキュリティ研究者によると、リモートデスクトップソフトウェアに重大な脆弱（ぜいじゃく）性が見つかった。

どのような脆弱性なのか

　共通脆弱性評価システム（CVSS）によるスコアは10だ。認証を回避する致命的な脆弱性であり、攻撃者が重要なシステムや機密情報にアクセスできる可能性がある。

　脆弱性が見つかったのはConnectWiseの「ConnectWise ScreenConnect」だ。すでに脆弱性が攻撃者によって積極的に悪用されており（注1）、ユーザーは速やかにパッチを適用する必要がある。

　ConnectWise ScreenConnectは、ヘルプデスクやテレワーカーの間で広く使用されているリモートデスクトップアプリケーションだ。スコアが10の脆弱性に加えて、スコアが8.4のパス・トラバーサル脆弱性も見つかっており、こちらは攻撃者によるリモートでのコード実行につながる恐れがあるという。

　ConnectWiseは2024年2月21日、インシデント対応チームが不審な活動の報告を調査し始めたことを受け、オンプレミスのパートナーに対してConnectWise ScreenConnectの最新バージョンに直ちにアップグレードするよう促した。この脆弱性は、オンプレミスのユーザーに適用される。

　ConnectWiseは、2024年2月13日に同社の情報開示チャネルを通じて脆弱性の通知を受けた。

　同社による最初の情報公開後、Huntressの研究者はシステムに侵入し不正な行動を起こすエクスプロイトと複数の段階を経て攻撃する一連の攻撃チェーンを再現できた（注2）。だが、パッチを当てる時間を確保するために情報の公開を遅らせた。Huntress以外の研究者は概念実証を公開した。

　Huntressのジョン・ハモンド氏（主任セキュリティ研究者）は「攻撃者は現在、将来の攻撃のために可能な限り広い網を張っている。彼らは、足掛かりとして利用するためにできるだけ多くのインプラントやアクセスを集めたいと考えている。それらを保存しておき、その後作戦を実行し、大混乱を引き起こすのだ」（ハモンド氏）

　発見から数日遅れて、今回の脆弱性には「CVE-2024-1709」と「CVE-2024-17008」という識別子が割り当てられた（注3、注4）。

　サイバーセキュリティ事業を営むPalo Alto Networksの研究者は、ScreenConnectをホストする固有のIPアドレスが世界に1万8000件以上あることを確認した（注5）。つまり2万近い攻撃ターゲットが存在する。

　連邦政府当局は、現在の脅威活動についてより深く理解するために同社と協力している。サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）のエリック・ゴールドスタイン氏（エグゼクティブアシスタントディレクター）は、次のように述べた。

　「CISAは、ConnectWise ScreenConnectの脆弱性を認識し、潜在的な悪用を理解するために取り組んでおり、必要なガイダンスと支援を提供する予定だ」

出典：ConnectWise ScreenConnect under active exploitation due to critical flaws（Cybersecurity Dive）
注1：ConnectWise ScreenConnect 23.9.8 security fix（ConnectWise）
注2：A Catastrophe For Control: Understanding the ScreenConnect Authentication Bypass (CVE-2024-1709 & CVE-2024-1708)（Huntress）
注3：CVE-2024-1709 Detail（NIST）
注4：CVE-2024-1708 Detail（NIST）
注5：Threat Brief: ConnectWise ScreenConnect Vulnerabilities (CVE-2024-1708 and CVE-2024-1709)（Unit 42）