CVE-2024-1709 と CVE-2024-1708 の理解 - リモートアクセスのセキュリティを揺るがした認証バイパス

CVE-2024-1709 と CVE-2024-1708 の理解 - リモートアクセスのセキュリティを揺るがした認証バイパス

2024年2月、サイバーセキュリティ界隈は、ConnectWiseがバージョン23.9.7以前のScreenConnectリモートデスクトップソフトウェアに影響する深刻なセキュリティ欠陥を2つ発表したことで、最も重要な脆弱性公開の一つを目撃しました。これらの脆弱性はCVE-2024-1709とCVE-2024-1708と命名され、セキュリティの弱点が重なり、ランサムウェアグループによって迅速に悪用され、壊滅的な被害をもたらしました。

CVE-2024-1709がなぜ満点の10点？

CVE-2024-1709はCVSSの最大スコア10.0を獲得し、リモートアクセスソフトウェアで発見された中でも最も深刻な脆弱性の一つとなりました。この認証バイパスは、ScreenConnectがURLパスを処理する基本的な仕組みの欠陥を突き、攻撃者がセキュリティコントロールを完全に回避できるようにしました。

この脆弱性の深刻さは、そのシンプルさと破壊的な影響にあります。”/SetupWizard.aspx/literallyanything”をリクエストし、ほぼ任意の後続パスを付けるだけで、脅威アクターは既に設定済みのScreenConnectインスタンスのセットアップウィザードにアクセスできました。これにより、攻撃者は資格情報不要で管理者レベルのアカウントを作成できる状態になりました。

技術的な詳細

この認証バイパスは、ScreenConnectがセットアップウィザードへのアクセスを検証する方法を突いています。通常、セットアップウィザードは初期インストール時のみアクセス可能ですが、研究者は、セットアップウィザードが最初の管理者ユーザーを設定し、そのユーザー作成は「次へ」ボタンをクリックした直後に行われることを発見しました。つまり、システムの完全なセットアップを完了しなくても脆弱性を突くことが可能です。

これが特に破壊的だったのは、このステップを完了すると、内部のユーザーデータベースが完全に上書きされ、他のローカルユーザーはすべて削除される点です。要するに、攻撃者は単純なHTTPリクエストだけでScreenConnectインスタンスを完全に制御できる状態になったのです。

セキュリティ研究者はこの脆弱性の連鎖を「SlashAndGrab」と名付け、その簡単な悪用方法から「取るに足らない」「恥ずかしいほど簡単」と表現しました。これらのエクスプロイトは、比較的未熟な脅威アクターにもアクセスしやすいものでした。

CVE-2024-1708：パストラバーサルの共犯者

CVE-2024-1709が最大CVSSスコアで注目された一方、CVE-2024-1708はCVSSスコア8.4のパストラバーサル脆弱性で、ScreenConnect 23.9.7以前に影響します。この脆弱性は低評価ながらも、認証バイパスと連携することで同じく深刻な問題となりました。

このパストラバーサルの欠陥は、ZIPアーカイブからファイルを抽出する際の検証不足に起因します。パッチ前は、悪意のある拡張子の追加により、ScreenConnectのディレクトリ内の任意の場所にファイルを書き込める可能性がありました。これにより、攻撃者はシステムレベルの権限で悪意のあるコードを配置できました。

致命的な組み合わせ

これらの脆弱性を連携させると、完全な攻撃経路が形成されます。攻撃者はまずCVE-2024-1709を悪用して管理者アクセスを獲得し、その後CVE-2024-1708を利用して悪意のあるScreenConnect拡張機能をアップロードし、リモートコード実行を達成します。管理者権限を得た状態で、悪意のある拡張機能を作成・アップロードするのは非常に簡単です。

ランサムウェア対応：実際の攻撃例

これらの脆弱性の公開は、即座に広範な悪用キャンペーンを引き起こしました。CISAは、活動的な悪用の証拠に基づき、CVE-2024-1709をKnown Exploited Vulnerabilitiesカタログに登録しました。

ランサムウェアグループの動き

Black BastaやBl00dyなどの高度なランサムウェアグループが、これらの脆弱性を攻撃に取り入れたと報告されています。攻撃者は、脆弱性を突いてランサムウェアのペイロードや暗号通貨マイナー、Cobalt Strike Beaconなどのリモートアクセスツールを展開している様子が観測されました。

特に、LockBitの展開は、2022年9月13日に公開されたLockBit 3.0ビルダーのリーク版を利用している可能性が示唆されており、攻撃者がリークされたランサムウェアビルダーを使って迅速に攻撃を展開していることがわかります。

Sophosも、リークされたLockBitランサムウェアビルダーを用いて構築されたペイロードを観測しており、これらの脆弱性を悪用する高度なランサムウェアグループと攻撃者の存在を裏付けています。

高度な持続的脅威（APT）の関与

従来のランサムウェアグループだけでなく、国家レベルのアクターもこれらの脆弱性の価値を認識しています。北朝鮮のKimsukyは、この脆弱性を利用してToddleSharkマルウェアを配布し、政府機関やシンクタンクを標的としました。

グローバルな影響と露出

潜在的被害者の範囲は膨大です。2024年2月21日時点で、Unit 42は世界中で18,188のユニークIPアドレスがScreenConnectをホストしていることを確認しました。この膨大な露出は、攻撃者にとって攻撃の機会を大きく広げました。

地理的な分布を見ると、これらのホストの約3/4が米国に集中しており、トップ10の国で全体の95%以上を占めています。これにより、特に米国の組織はこれらの脆弱性に対して非常に脆弱な状況にあります。

攻撃のタイムラインも非常に迅速で、2024年2月21日にGitHub上でこれらの脆弱性を悪用するPoCコードが公開され、その後数日で自動化されたエクスプロイトツールが出回るようになりました。

検知とフォレンジックの指標

組織が侵害の有無を判断するために、セキュリティ研究者はいくつかの重要な指標を特定しています。”/SetupWizard.aspx”パスへのリクエストに後続のパスセグメントが付いている場合は、侵害の兆候とみなすことが推奨されます。

また、フォレンジックの証拠として、特定の時間範囲内にディスク上に作成された一時的なユーザー作成XMLファイルを確認してください。このファイルはCVE-2024-1709の悪用の兆候となる可能性があります。さらに、CVE-2024-1708の悪用を検知するには、ScreenConnectのApp_Extensionsフォルダに書き込まれた .ASPX や .ASHX ファイルを確認してください。

ポストエクスプロイトの戦術と手法

セキュリティ運用チームは、侵害後の高度な活動を観測しています。攻撃者は、レーダーに映らないようにユーザー名を工夫したり、これらのユーザーを高権限グループに追加したりするなど、持続性を確保するための多様な手法を用いています。

また、certutilを使ったランサムウェアMSIペイロードのダウンロードや、スタートアップフォルダへの配置による持続性確保も観測されています。これにより、再起動後もマルウェアが動作し続ける仕組みです。

リモートアクセスツールの展開も一般的な戦術です。侵害されたScreenConnectインスタンスは、Cobalt Strikeビーコンやその他のリモート管理ツールの出発点となり、攻撃者に持続的かつ隠密なネットワークアクセスを提供します。

対策と対応

ConnectWiseの対応は迅速かつ徹底的でした。バージョン23.9.8で両脆弱性のパッチをリリースし、ライセンス制限の解除も行い、影響を受けた顧客が保守契約の有無に関わらずアップグレードできるようにしました。

クラウドホスティングの実装については、自動的に修正が適用されました。screenconnect.comやhostedrmm.comを含むクラウド版は、検証後数時間以内に対策が施されました。一方、オンプレミスの導入を行う組織は、即時の対応が必要です。

緊急パッチ戦略

保守契約のない組織には、暫定的にバージョン22.4.20001のパッチ版が提供されました。これにより、サポート契約のない顧客も一時的に脆弱性から保護されます。

一部組織ではアップグレード時にライセンスエラーが発生しましたが、その場合は、4つのScreenConnectサービスを停止し、インストールフォルダからLicense.xmlファイルを別の場所に移動してからアップグレードを進めるよう指示されました。

インシデント対応の指針

侵害の疑いがある場合、セキュリティ専門家は積極的な封じ込めを推奨しています。ScreenConnectが侵害されている可能性がある場合は、既存のインシデント対応プレイブックに従い、影響を受けたサーバーを隔離し、後で分析できるようバックアップを作成してください。

また、ScreenConnectの侵害は全体のセキュリティ状況の一部にすぎない可能性もあるため、システム全体の調査も重要です。包括的な対応が必要です。

GoogleのMandiantチームは、追加のセキュリティ強化策も推奨しています。設定のハードニングやネットワークのセグメント化、監視の強化などを含む詳細なガイドラインを参照してください。

長期的な影響と教訓

ScreenConnectの脆弱性公開は、サイバーセキュリティの風景に長期的な影響を与えました。これにより、ScreenConnectの脆弱性が実際に悪用された最初の事例となり、リモートアクセスインフラのセキュリティに対する認識が一変しました。

この事件は、リモートアクセスソリューションの迅速なパッチ適用の重要性を浮き彫りにしました。ScreenConnectのようなリモート監視・管理ツールは、現代のIT運用に不可欠なインフラとなっており、これらのシステムに脆弱性が見つかると、攻撃者にとって格好の標的となります。CVSSスコアが満点の脆弱性が出た場合、対策と攻撃の速度は時間単位に縮まります。

ベンダーの対応と業界標準

ConnectWiseの対応は、脆弱性公開と修正の重要な前例を築きました。ライセンスの壁を取り払い、サポート契約のない顧客にも無料アップグレードを提供するなど、セキュリティを最優先しました。このアプローチは短期的にはコストがかかるものの、全体の被害を抑える効果がありました。

また、迅速かつ透明なコミュニケーションも重要です。ConnectWiseは詳細なセキュリティ通知を迅速に公開し、研究者と協力してエクスプロイト技術を理解し、明確な修正ガイドを提供しました。ベンダー、研究者、セキュリティコミュニティの協力は、効果的な対応に不可欠でした。

同様の脅威からの防御策

組織は、CVE-2024-1709やCVE-2024-1708のような脆弱性から守るために、以下の防御策を実施すべきです：

ネットワークのセグメント化：リモートアクセスツールは、可能な限りインターネットに直接公開しないこと。ファイアウォールやVPNの背後に配置することで、未認証の攻撃者の攻撃面を減らせます。

迅速なパッチ管理：重要な脆弱性には即座に対応できる体制を整える。特に、深刻度の高い脆弱性は、公開後数時間以内にパッチを適用できる仕組みが必要です。

監視の強化：リモートアクセスソリューションのログと監視を徹底し、不審な認証試行やセットアップウィザードへのアクセス、ファイル作成を検知したらアラートを出す仕組みを導入してください。

多層防御：単一のセキュリティ対策に頼らず、複数の防御層を設けることで、一つが破られても他の対策で防御できます。

定期的なセキュリティ評価：脆弱性スキャンやペネトレーションテストを定期的に行い、公開されているリモートアクセスや設定の弱点を早期に発見しましょう。

リモートアクセスセキュリティの全体像

ScreenConnectの脆弱性は、リモートアクセスと管理ツールを標的とした攻撃の一例です。これらのシステムは、攻撃者が求める正当な信頼できるチャネルを提供します。

COVID-19のパンデミックによりリモートワークが加速し、リモートアクセスツールの重要性と攻撃対象としての価値が高まりました。組織が分散することで、攻撃の機会も増加しています。各リモートアクセスエンドポイントは、攻撃者にとって潜在的な侵入口となるため、これらのツールのセキュリティは最優先です。

現代の脅威アクターは、サプライチェーン攻撃や信頼されたソフトウェアの悪用にますます注力しています。正面突破ではなく、正当なツールやアクセス手段を利用して侵入を試みるのです。リモートアクセスソフトは、認証済み・暗号化されたチャネルを提供し、多くのセキュリティツールがデフォルトで信頼しているため、理想的な攻撃手段となっています。

結論：リモートアクセスセキュリティの警鐘

ConnectWise ScreenConnectのCVE-2024-1709とCVE-2024-1708の脆弱性は、リモートアクセスインフラの重大なセキュリティ課題を浮き彫りにしました。満点のCVSSスコア10.0、簡単な悪用、複数のランサムウェアグループによる実際の利用は、最悪のシナリオを示しています。

エクスプロイトの迅速な展開と、世界中の膨大なシステムの露出により、即時の対応が求められました。ConnectWiseやセキュリティ研究者、コミュニティの協力による迅速な対応は、脆弱性公開と修正の重要性を示すものでした。

今後も、この教訓は重要です。リモートアクセスツールは、攻撃者にとって高価値の標的です。迅速なパッチ適用、ネットワークのセグメント化、監視の強化、多層防御を優先しなければなりません。リスクはあまりにも高く、後回しにできません。

攻撃者は進化し続けており、今日の脆弱性が明日には大規模なデータ漏洩やランサムウェア感染につながる可能性があります。ConnectWise ScreenConnectの脆弱性は、成熟したソフトウェアでも重大なセキュリティ欠陥を抱えることを証明しました。

CVE-2024-1709に付与された満点のCVSSスコアは誇張ではなく、最小限の労力でシステム全体を制御できる脆弱性の深刻さを正確に反映しています。セキュリティ専門家にとって、この事件は「完璧なスコアには完璧な対応が必要」という基本的な真実を再認識させるものでした。遅れは許されません。