Panther Media GmbH、Alamy Stock Photo経由
ConnectWiseは5月28日、ScreenConnectの顧客を標的とした攻撃でネットワークが侵害されたことを明らかにしました。
ScreenConnectのようなリモート監視と管理(RMM)ツールを作成するソフトウェア会社は、ウェブサイト上の簡単なセキュリティアドバイザリで攻撃を公表しました。
「ConnectWiseは最近、私たちの環境内での疑わしい活動を知り、それが高度な国家の関与があると信じられるもので、非常に少数のScreenConnectの顧客に影響を与えました。私たちは、主要な法医学の専門家であるMandiantとともに調査を開始しました。すべての影響を受けた顧客に連絡し、法執行機関と調整しています」とアドバイザリには記載されています。
しかし、ConnectWiseは侵害についての詳細をほとんど提供しておらず、何人の顧客が影響を受けたかは不明です。
「Mandiantとの作業の一環として、私たちは環境全体で強化された監視と強化措置を実施しました。顧客のインスタンスでさらなる疑わしい活動は観察されていません」とConnectWiseはアドバイザリで述べています。
Loading...
脆弱性が悪用された?
CRNは5月28日に最初に報告し、ConnectWiseからの声明を受け取りました。それは会社のセキュリティアドバイザリと似ていましたが、一つの注目すべき部分を除いて:「Mandiantとの作業の一環として、ScreenConnectにパッチを適用し、環境全体で強化された監視と強化措置を実施しました。」
関連:『エベレストグループ』がSAPのHRツールを通じてグローバル組織を恐喝
セキュリティアドバイザリにはパッチや脆弱性についての言及はありません。Dark ReadingはConnectWiseに明確化を求めましたが、プレス時点で会社からの返答はありませんでした。
ConnectWiseは最近、ScreenConnectにおける高深刻度の認証脆弱性を公表しました。これはCVE-2025-3935として追跡されており、悪用活動は報告されていません。4月24日に公開されたアドバイザリによると、この脆弱性はScreenConnectバージョン25.2.3以前に影響を与えるViewStateコードインジェクションの欠陥です。
ViewStateはASP.NETページフレームワークの機能で、ASP.NET Web Formsのページとコントロールの値を保持するために設計されています。ASP.NETのマシンキーは、ViewStateを改ざんやデータ漏洩から保護するために使用されます。しかし、脅威アクターがこれらのマシンキーを公開または盗むと、ViewStateコードインジェクション攻撃が実行される可能性があります。
「これらのマシンキーが侵害されると、攻撃者は悪意のあるViewStateをウェブサイトに作成して送信し、サーバー上でリモートコード実行につながる可能性があります。私たちのパッチはViewStateを無効にし、それに依存しないようにします」とConnectWiseはアドバイザリで述べています。「この問題はASP.NETフレームワークViewStateを利用する製品に影響を与える可能性があり、ScreenConnectは例外ではありません。」
関連:LexisNexisが360,000人以上の顧客に第三者データ漏洩を通知
2月、Microsoft Threat Intelligenceは3,000以上のASP.NETキーが公開され、12月に未知の脅威アクターがそのようなキーを使用してViewStateコードインジェクション攻撃を行った「限定的な」脅威活動を観察したと発表しました。
Microsoftによると、これらの攻撃はGodzillaポストエクスプロイトフレームワークを配信するために使用されました。MicrosoftはViewStateコードインジェクション攻撃を特定のアクターやグループに帰属させていませんが、Godzillaは中国に関連する国家支援ハッカーと結びつけられています。
ConnectWiseは、近年、他のRMMベンダーとともに、広範な脅威アクターの標的として浮上しています。2024年初頭、多くの攻撃者がScreenConnectの2つの脆弱性を悪用し、CVE-2024-1708およびCVE-2024-1709として追跡され、マネージドサービスプロバイダー(MSP)の顧客およびMSPの下流クライアントにアクセスしました。この悪用活動にはランサムウェア攻撃や北朝鮮の国家支援アクターによるサイバー諜報活動が含まれていました。
同様に、脅威アクターは「土地に住む」技術を使用して、正当なRMMツールをますます悪用しています。例えば、以前のLockBitランサムウェアギャングは、ScreenConnectのような製品を通常使用して、ターゲットシステムにリモートで接続し、初期アクセスや横方向の移動を行っていました。
関連:Cellcomがサイバー攻撃後に地域のモバイルサービスを復旧
最新のDark Reading Confidentialポッドキャストをお見逃しなく、最もありえない場所でAPTグループを見つけた日、脅威ハンターのIsmael ValenzuelaとVitor Venturaが、高度な持続的脅威を追跡するために使用したトリックと、途中で発見した驚きについての話を共有します。今すぐ聞く!