出典: Elena Uve via Alamy Stock Photo
ConnectWiseが脅威アクターによってその環境にアクセスされ、顧客が標的にされたことを公表してから1週間が経過したが、攻撃者が使用した脆弱性についての疑問が残っており、攻撃のタイムラインについての混乱も続いている。
先週、ConnectWiseはその環境が侵害されたことを、国家的なアクターが関与していると疑われると発表した。「ConnectWiseは最近、我々の環境内での疑わしい活動を発見し、これが高度な国家的アクターに関連していると考えています。この活動は、非常に少数のScreenConnect顧客に影響を与えました」と同社は5月28日のアドバイザリーで述べた。
その時点で、Dark ReadingはConnectWiseにさらなるコメントを求めた。「我々の調査は進行中です。しかし、パッチがインストールされて以来、ScreenConnectクラウドインスタンスでさらなる疑わしい活動は観察されていません」と同社のスポークスパーソンはDark Readingに語った。
スポークスパーソンはまた、パッチが適用された脆弱性がCVE-2025-3935であることを確認した。これは、リモート監視および管理プラットフォームであるScreenConnectにおける不適切な認証の欠陥である。同社は、Dark Readingの姉妹出版物であるCybersecurity Diveを含む他のメディアにも同じ情報を提供した。
しかし、CVE-2025-3935は4月24日に最初に公表され、パッチが適用されたものであり、ConnectWiseのこの欠陥に関するアドバイザリーには、いかなる悪用活動についても言及されていない。この不一致が、攻撃とConnectWiseの公表に関する疑問を引き起こしている。
関連:ChromeがChunghwa、Netlock証明書の信頼を取り下げる
CVE-2025-3935はいつ悪用されたのか?
ConnectWiseは6月1日にアドバイザリーを更新し、最近の攻撃に関する追加の詳細を提供するFAQを追加した。まず、同社はMandiantと共同で行っている調査が、悪質な活動がScreenConnectに限定されていることを示していると述べた。
次に、より重要なこととして、ConnectWiseはパッチを発行し、パッチが適用されて以来、ScreenConnectクラウドインスタンスで脅威活動は観察されていないと述べた。
「4月24日にパッチがリリースされて以来、ScreenConnectクラウドインスタンスで追加の疑わしい活動は観察されていません」とFAQに記載されている。
FAQにはCVE-2025-3935についての言及はないが、ViewStateコードインジェクション攻撃に関する脆弱性のための4月24日のセキュリティアドバイザリーとパッチリリースへのリンクが含まれている。このアドバイザリーは、Microsoftが警告した3,000以上の公開されたASP.NETキーについての2月のブログ投稿を参照しており、これらはViewStateコードインジェクション攻撃に使用される可能性がある。
同様に、4月24日のアドバイザリーもCVE-2025-3935を具体的に参照していない。しかし、ConnectWiseのセキュリティブリテンはCVE-2025-3935のために4月24日にリリースされており、認証の脆弱性がViewStateコードインジェクション攻撃につながる可能性があると説明している。さらに、4月24日のアドバイザリーとセキュリティブリテンの両方で、オンプレミスのScreenConnectユーザーに同じバージョンへのアップグレードを促している:25.2.4(クラウドインスタンスには顧客のアクションは必要なかった)。
関連:LummaC2が崩壊し、Acreedマルウェアがトップに
一方、サイバーセキュリティおよびインフラストラクチャセキュリティ庁は6月2日にCVE-2025-3935を既知の悪用された脆弱性カタログに追加し、悪用活動がいつ発生したのかについての疑問を引き起こしている。
これらのアドバイザリーとFAQを総合すると、ConnectWiseは4月に悪質な活動を検出し、その後4月24日にCVE-2025-3935を公表しパッチを適用したが、ゼロデイ脆弱性が積極的に悪用されていることを公に述べなかったことが示唆されている。
Dark Readingは、アドバイザリーとイベントのタイムラインについての明確化を求めてConnectWiseに連絡したが、記事掲載時には同社からの返答はなかった。
Mandiantのスポークスパーソンは、ConnectWiseのインシデント対応を支援していることを確認したが、調査が進行中であるため、これ以上のコメントは控えた。
「混乱しているのはあなただけではありません」とTenableのシニアリサーチエンジニアであるSatnam NarangはDark Readingに語った。
Narangは、開示資料が何が起こったのか、何がパッチされたのかを明確に示していないと述べており、CVE-2025-3935や他のCVEについての言及がない。また、脅威活動がいつ発見されたのか、CVE-2025-3935のセキュリティブリテンが発行される前か後かも不明である。
関連:新しいハッカーミリオネアクラスがどのように構築されたか
Narangは、公開されたASP.NETキーが2月から既知の脅威ベクトルであり、ConnectWiseが4月にScreenConnectパッチを発行して攻撃面を強化した可能性があると述べている。彼は、パッチリリース後のリスクをさらに低減するための取り組みの一環として、ConnectWiseのセキュリティチームが何らかの調査を開始し、悪質な活動を発見した可能性があると述べている。
「FAQでパッチを発行したと言っているとき、それは4月に発行したものとは異なるものだったのか?」とNarangは問いかける。
疑問が残る中、Narangは、Mandiantが調査に関与していることから、近いうちにより多くの情報が提供されることを期待していると述べている。