マネージド サービス プロバイダー (MSP) に愛用され、広く使用されているリモート デスクトップ アクセス アプリケーションで新たに明らかになった 2 つの脆弱性は、2021 年 7 月の Kaseya に対するサイバー攻撃と比較されており、セキュリティ専門家らは悪用は些細なものだと述べています。
問題の製品 ConnectWise ScreenConnect は、リモート ワーカーや IT サポート チームなどに広く使用されています。 最初の脆弱性は、攻撃者が代替パスまたはチャネルを使用して認証バイパスを達成することを可能にし、CVE-2024-1709 として追跡されます。 重要な CVSS スコアは 10 であり、すでに CISA の既知の悪用された脆弱性 (KEV) カタログに追加されています。 2 番目はパス トラバーサルの問題で、CVE-2024-1708 として追跡され、CVSS スコアは 8.4 です。
ConnectWiseはこの問題の修正をリリースしており、クラウドパートナーは両方ともすでに修復されているが、オンプレミスパートナーは直ちにバージョン23.9.10.8817に更新する必要があるとしている。 侵害の痕跡 (IoC) を含む詳細情報は、ここから入手できます。
ConnectWise は、2 つの脆弱性に関する不審なアクティビティの通知を認識し、調査していることを確認し、2 月 21 日には、概念実証のエクスプロイト コードが GitHub にヒットした後、活発なエクスプロイトが観察されたことを確認しました。
「ConnectWise ScreenConnect 23.9.8 を使用している人は、これらのシステムにパッチを適用するための措置を直ちに講じる必要があります。 すぐにパッチを適用できない場合は、パッチが適用できるまでインターネットから削除する措置を講じる必要があります。 これらのパッチに続く攻撃の速度を考えると、ユーザーは侵害の可能性の兆候がないかどうかも確認する必要があります」と Sophos X-Ops ディレクターの Christopher Budd 氏は述べています。
「インシデント対応事例に基づいた技術リーダー向けのアクティブな敵対者レポートで証明されているように、悪用可能な脆弱性と外部リモート サービスの組み合わせは、現実世界の攻撃における重要な要素です。 外部リモート サービスは、最も重要な初期アクセス手法です。 脆弱性の悪用は 23% で 2 番目に多い根本原因でしたが、過去には最も一般的な根本原因でした。
「この実際のデータは、この組み合わせが攻撃者にとっていかに強力であるか、また、この大幅に高まった脅威環境において、脆弱な ConnectWise 顧客が身を守るために直ちに行動を起こす必要がある理由を示しています。」と同氏は付け加えました。
ConnectWise の最初の開示通知を受けて、Huntres Security の研究者は徹夜で脆弱性を解明し、その仕組みを理解し、エクスプロイトを再現しました。
Hanslovan 氏は、最初の開示では技術的な詳細が非常にまばらであり、それには正当な理由があったが、PoC エクスプロイト コードの公開後、今や問題は完全に解決したと述べました。 彼は搾取を「恥ずかしいほど簡単」だと表現した。
ハントレスの CEO、カイル・ハンスロバン氏は「これを甘やかすことはできない。これはひどいものだ」と語った。 「数十万のエンドポイントを制御する 1 万台以上のサーバーについて話しています…。 このソフトウェアの蔓延とこの脆弱性によって与えられるアクセスは、私たちがランサムウェアの無料攻撃の瀬戸際に立っていることを示しています。 病院、重要なインフラ、国家機関が危険にさらされていることが証明されています。」
加瀬谷との比較
REvil ランサムウェアの集団による 2021 年の Kaseya 事件は、マネージド サービスを取り巻くセキュリティ問題に対する広く認識を高める最初の注目を集めたサプライ チェーン インシデントの 1 つでした。
この攻撃は、セキュリティ チームがダウンタイムを享受していた 7 月 4 日の連休中に米国で発生し、Kaseya のエンドポイントおよびネットワーク管理サービスを介して 1,000 を超える組織が侵害されました。
2023 年の MOVEit 管理ファイル転送インシデントも同様の影響を及ぼし、Clop/Cl0p ランサムウェア ギャングが MOVEit 顧客と契約している多数の組織に下流に拡散することを可能にしました。
ハンスロバン氏は、ConnectWise を使用している MSP の数が膨大であることを考えると、両方の事件との比較は適切であると述べた。
「二重目的のソフトウェアには計算が必要です。 夏にハントレスが MOVEit で明らかにしたように、IT チームに提供されるのと同じシームレスな機能が、ハッカーにも提供されます」と彼は言いました。
「リモート アクセス ソフトウェアを使用すると、悪者は善良な者がパッチをプッシュするのと同じくらい簡単にランサムウェアをプッシュできます。 そして、彼らがデータ暗号化機能をプッシュし始めると、信頼できるソースからのものであるため、予防的セキュリティ ソフトウェアの 90% はそれを捕らえられないと私は賭けてもいいでしょう。」