ConnectWise ScreenConnectの脆弱性による攻撃が増加しており、CVE-2024-1709とCVE-2024-1708の2つの脆弱性がサーバーとクライアントの両方に影響を与えている。クラウドホスト型のScreenConnectはアップデート済みだが、オンプレミス型は手動でのアップグレードが必要である。この脆弱性を悪用することで、マルウェアがサーバーやワークステーションにデプロイされる可能性がある。
LockBitランサムウェアやAsyncRATなど、脆弱性を悪用した攻撃が確認されている。Vidar/RedlineデータスティーラーやSimpleHelpリモートアクセスクライアントなど、さまざまなマルウェアが配信されている。また、Cobalt StrikeのペイロードやXwormマルウェアも確認されている。
対策としては、ScreenConnectのサーバーとクライアントのバージョンを確認し、アップグレードすることが重要である。不正なアカウントや異常なサーバーアクティビティを確認するために、詳細な調査が推奨されている。インシデントレスポンスプランを活性化し、必要に応じて対応策を実施すること、Sophos X-Ops Incident Responseが提供するXDRクエリや検出ルールを使用して脅威ハンティングを実施することが推奨されている。
【ニュース解説】
ConnectWise ScreenConnectというITリモートアクセスツールにおいて、複数の脆弱性が発見され、これを悪用した攻撃が増加しています。これらの脆弱性は、CVE-2024-1709とCVE-2024-1708として識別され、サーバーとクライアントの両方に影響を及ぼす可能性があります。特に、クラウドホスト型のScreenConnectはすでにアップデートされていますが、オンプレミス型は手動でのアップグレードが必要となります。
これらの脆弱性を悪用することで、攻撃者はLockBitランサムウェア、AsyncRAT、Vidar/Redlineデータスティーラー、SimpleHelpリモートアクセスクライアント、Cobalt Strikeのペイロード、Xwormマルウェアなど、さまざまな種類のマルウェアをサーバーやワークステーションにデプロイすることが可能になります。
このような攻撃を防ぐためには、まずScreenConnectのサーバーとクライアントのバージョンを確認し、必要に応じてアップグレードすることが重要です。また、不正なアカウントの作成や異常なサーバーアクティビティの確認など、詳細な調査を行うことが推奨されます。さらに、インシデントレスポンスプランを活性化し、必要に応じて対応策を実施すること、Sophos X-Ops Incident Responseが提供するXDRクエリや検出ルールを使用して脅威ハンティングを実施することが効果的です。
このニュースからわかることは、ITリモートアクセスツールが便利である一方で、セキュリティの脆弱性を放置することがどれほど危険かということです。特に、オンプレミス型のシステムは自動アップデートが適用されないため、定期的なセキュリティチェックとアップデートが不可欠です。また、このような攻撃は企業の重要なデータを危険にさらすだけでなく、ビジネスの運営にも大きな影響を与える可能性があるため、迅速かつ適切な対応が求められます。
from ConnectWise ScreenConnect attacks deliver malware.
