ConnectWiseは、ユーザーセッションのハイジャックを可能にする深刻な脆弱性に対処するため、ScreenConnectリモートデスクトップソフトウェアの重大なセキュリティアップデートをリリースしました。
サーバーレベルの暗号化素材の保護を損なうこの欠陥は、同社にPriority 1セキュリティブレティンを発行させ、ユーザーに野生環境での悪用の高いリスクについて警告しました。
脆弱性の理解
CVE-2026-3564で追跡されるこの脆弱性は、ソフトウェアアーキテクチャ内の暗号署名の不適切な検証に起因し、公式にはCWE-347として分類されています。
ConnectWise ScreenConnectの古いバージョンは、インスタンスごとに一意のマシンキーをサーバー構成ファイル内に直接保存していました。
特定のネットワーク条件下で、サーバーの整合性を損なう権限のない脅威行為者がこの機密暗号化素材を抽出することができます。
攻撃者がマシンキーを所有すると、セッション認証を偽造するためにそれらを悪用することができます。
この重大な障害はハッカーにアクティブなリモートセッションをハイジャックさせ、接続されたエンドポイントへの無許可アクセスと機密データの漏洩を与えます。
セキュリティ欠陥は10点中9.0の重大なCVSS v3.1基本スコアを持っています。完全な攻撃ベクトル文字列はCVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:Hと評価され、攻撃の複雑さが高いにもかかわらず、侵害されたシステムに対する深刻な機密性、整合性、および可用性への影響を反映しています。
バージョン26.1より前のScreenConnectのすべての展開がこのエクスプロイトに対して脆弱です。
この脅威を中和するために、ConnectWiseはScreenConnectバージョン26.1をロールアウトしました。これは認証プロセスのセキュリティ強化対策を導入しています。
このアップデートは、ソフトウェアがマシンキーを処理する方法を完全に改良し、ローカライズされた構成ファイル保存を暗号化されたストレージとアクティブキー管理に置き換えます。
このアーキテクチャの強化は無許可アクセスのリスクを大幅に削減し、より広いサーバー環境が侵害されている場合でもセッションハイジャックを防止します。
ConnectWiseはこの欠陥をPriority 1の脅威に分類しており、組織がこのパッチを数日以内の展開が必要な緊急の変更として扱うべきことを示しています。
クラウドホスト型のScreenConnectインスタンスを使用している組織の場合、ConnectWiseはすでにバックエンドインフラストラクチャに必要なパッチを適用しています。
クラウド顧客がこの特定の脆弱性から保護されたままでいるために、さらなるアクションは必要ありません。
ただし、オンプレミス管理者は、自分の環境を保護するために即座に手動で対応する必要があります。
ローカル展開を実行している組織は、ConnectWiseポータルからScreenConnectバージョン26.1を直接ダウンロードしてインストールする必要があります。
有効期限切れのメンテナンスライセンスを持つ管理者は、この重大なアップデートを適用する前にライセンスを更新する必要があります。
さらに、ConnectWise Automateと統合されたオンプレミスScreenConnectインストールに依存するパートナーは、標準のAutomate Product Updatesページから26.1アップデートを直接取得できます。
翻訳元: https://gbhackers.com/screenconnect-flaw-hackers-steal-machine-keys/
