ConnectWise ScreenConnectにおける高リスクの脆弱性

ScreenConnect は、世界中の多くの組織で使用されている一般的なリモートアクセスソフトウェアです。ScreenConnectの約7,500以上のインスタンスが一般インターネットに公開されているようですが、2月20日現在、この脆弱性の悪用は確認されておりません。

セキュリティに関する情報を扱うメディアやセキュリティベンダーたちがこの問題について強く警鐘を鳴らしていますが、それは、攻撃者が脆弱な ScreenConnect インスタンスを悪用して、下流のクライアントにランサムウェアをプッシュする可能性があるためです。これは、クライアント環境のリモート管理に ScreenConnect を使用しているマネージド・サービス・プロバイダー（MSP）またはマネージド・セキュリティ・サービス・プロバイダー（MSSP）にとって、特に懸念すべきことです。

緩和ガイダンス

23.9.8以前のすべてのバージョンのConnectWise ScreenConnectは、これらの問題に関係する脆弱性（現時点でCVE未割り当て）があります。環境にオンプレミスの ScreenConnect インスタンスをお持ちのお客様は、ConnectWise のガイダンスに従って、2直ちに3.9.8 のアップデートを適用してください。

Rapid7のお客様

Rapid7のエンジニアリングチームは、本問題に対する新しい脆弱性チェックを開発しています。2月21日のコンテンツリリースで、InsightVMとNexposeのお客様向けの脆弱性チェックをリリースしたいと考えています。アップデートがあり次第、このブログで続報と提供予測時期をお知らせします。

InsightIDR および Managed Detection and Response をご利用のお客様は、Rapid7 の広範な検出ルールライブラリにより、既存の検出カバレッジを利用できます。疑わしいプロセスを可視化し、適切な検出範囲を確保するために、該当するすべてのホストにInsight Agentをインストールすることを推奨します。以下は、これらの脆弱性に関連するエクスプロイト後の動作について警告を発する、導入されている検出のリストです（※このリストに含まれない検出リストが存在する可能性があります）：

• 攻撃者のテクニック - ScreenConnect経由のリモートアクセス
• 攻撃者のテクニック - ScreenConnect経由のコマンド実行
• 不審なプロセス - RunRole引数を持つScreenConnect

※本ブログは英語版ブログ "High-Risk Vulnerabilities in ConnectWise ScreenConnect" の機械翻訳版です。最新情報等につきましては、原文をご参照ください。