コンテンツへスキップ
ホーム » CVSS 10点のScreenConnect脆弱性にさらされているサーバーを検知(CVE-2024-1709)

CVSS 10点のScreenConnect脆弱性にさらされているサーバーを検知(CVE-2024-1709)

1ヶ月前、ConnectWiseのScreenConnect脆弱性を悪用する攻撃がセキュリティ業界で大きなイシューになりました。ConnectWiseのScreenConnectは、サーバーおよびクライエントの要素(アプリケーション)で構成されたリモートデスクトップであり、世界的に多数の企業によって利用されています。ConnectWiseが提供するScreenConnectのサーバー要素は、顧客のサーバーにオンプレミスまたは、クラウド型にインストールすることができます。今回発見されたScreenConnectの主な脆弱性「CVE-2024-1709」は、認証段階をバイパスできるようにするCVSS 10点の深刻な脆弱性です。これを通じて認証を通過した後、経路を変更し権限を昇格させたり、ペイロードを埋め込んで攻撃することが可能になります。

2024年2月24日、ConnectWiseはアップグレードバージョンと公式パッチのお知らせを発表し、ScreenConnectオンプレミスユーザーの警戒心を高めました。しかし、パッチのバージョンが公開されたにもかかわらずScreenConnectが企業向けのリモート管理ソリューションである特性のため、依然として攻撃者の主なターゲットになっています。

CVE-2024-1709に脆弱なScreenConnectのサーバー

脆弱性が最初に発見されてから1ヶ月が経った現在も依然として脆弱なScreenConnectのサーバーがあるか以下のクエリをCriminal IPのIT資産検索で検索してみました。 

Criminal IP Query: title: ConnectWise ScreenConnect

Criminal IP Query: title: ConnectWise ScreenConnect Remote Support Software

Criminal IPのIT資産検索で検知した外部公開のScreenConnectサーバーと関連ポートの情報
Criminal IPのIT資産検索で検知した外部公開のScreenConnectサーバーと関連ポートの情報

検索結果、4,500台を超えるScreenConnectのサーバーが潜在的なリモート攻撃にさらされていることが確認されました。ScreenConnectの脆弱性(CVE-2024-1709)に影響されるサーバーの国を確認してみたところ、アメリカが3,101個で最も多く、イギリスが323個、カナダが308個でその後を継ぎました。また、検知されたサーバーの半分以上がScreenConnectの基本的なアウトバウンドポートの役割を担当するTCP 8040ポートを利用しています。

CVSS 10点の脆弱性の脅威にさらされているサーバーの国・地域分布

上で確認されたCVE-2024-1709の脆弱性に影響を受けるサーバーの国および地理的情報を確認するためには、IT資産検索で使用したクエリをCriminal IPのインテリジェンス機能「マップ」に入力します。特定の地域を拡大し、より正確な地域分布を確認することができます。

ScreenConnectの脆弱性に影響を受ける国が表示されたCriminal IPのマップ
ScreenConnectの脆弱性に影響を受ける国が表示されたCriminal IPのマップ

Criminal IPのマップを通じて今回発見されたScreenConnectの脆弱性にさらされている大方の国が北米とヨーロッパに位置していることが確認できました。特に、ConnectWiseが企業の人気リモートデスクトップソリューションであるほど、アメリカの重要企業がたくさん位置したペンシルバニア州付近に多数の脆弱な機器が分布されているようです。

至急パッチの適用が必要な4,500台のScreenConnectサーバー

ConnectWiseが2月に初めて公式パッチの案内を発表した以降、ScreenConnectの脆弱性に対する技術詳細と概念実証(PoC)のエクスプロイトも公開されました。現在、特定のハッキンググループとAPT攻撃者は、企業を対象に脆弱なScreenConnectサーバーを通じたマルウェアまで配布しています。単純なリモート攻撃かランサムウェア攻撃に進化していて当セキュリティイシューの深刻さは益々大きくなっています。 

2024年3月1日、ConnectWiseはもう一回リモートデスクトップの攻撃プロセスと影響を詳細に説明し、パッチ導入の重要性を強調しました。ConnectWiseは、顧客にScreenConnectのサービスに対する通信チャンネルを設定し、セキュリティ案内を日ごろに確認することをお勧めしました。特に、オンプレミスのユーザーはScreenConnectのインスタンスにパッチを適用することを勧告しました。

関連してMS Exchangeサーバーのゼロデイ、16万台以上が攻撃脅威にさらされている( CVE-2024-21410)をご参照ください。 

当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。

データの提供:Criminal IP(https://www.criminalip.io/ja)

ご参照:

https://criminalipdotcodotjp.wpcomstaging.com/2024/02/23/cve-2024-21410

コメントを残す

Criminal IP(クリミナルアイピー)をもっと見る

今すぐ購読し、続きを読んで、すべてのアーカイブにアクセスしましょう。

続きを読む