ConnectWiseは、攻撃者がマシンレベルの暗号化キーを抽出し、アクティブなユーザーセッションをハイジャックすることを可能にする高度な深刻度の脆弱性を発見した後、ScreenConnectリモートデスクトップソフトウェアの重大なセキュリティアップデートを発行しました。
CVE-2026-3564として追跡されたこの欠陥には、CVSS v3.1スコア9.0が割り当てられており、既にアクティブな悪用のリスクがあると考えられており、会社からPriority 1勧告を促しています。
この問題は、ScreenConnectの認証アーキテクチャ内での暗号署名の不適切な検証に由来し、CWE-347に分類されています。
脆弱なバージョンでは、アプリケーションは一意のマシンキーをサーバー設定ファイル内に直接保存し、特定の侵害シナリオの下で機密の暗号化資料を公開しています。
攻撃者が誤設定、横展開、または別の悪用を通じてサーバー環境へのアクセスを獲得した場合、これらのマシンキーを抽出できます。
取得されると、キーは認証トークンを偽造するために使用でき、セッション整合性制御を効果的にバイパスします。
これにより、敵はユーザー操作または認証情報を必要とせずに正当なリモートデスクトップセッションをハイジャックでき、接続されたエンドポイントへの完全なアクセスを許可します。
攻撃者がセッションを監視し、コマンドを実行し、管理された環境内でさらなるペイロードをデプロイする可能性があるため、影響は機密性、整合性、および可用性にまたがります。
脆弱性はより高いレベルの攻撃複雑性(CSSベクトル:AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)を必要としていますが、認証要件がないことはそのリスクプロファイルを大幅に上昇させます。
実際には、サーバーレイヤーに正常に侵入した攻撃者は、公開された暗号化信頼モデルを悪用することで、アクセスを迅速にエスカレートできます。
管理サービスプロバイダー(MSP)およびエンタープライズIT環境におけるScreenConnectの広範な使用を考慮すると、悪用はダウンストリームクライアントシステムの大規模な侵害につながる可能性があり、この欠陥はサプライチェーンまたはマルチテナントシナリオで特に危険です。
この問題を軽減するために、ConnectWiseはScreenConnect version 26.1をリリースしました、これはマシンキーの処理方法に大幅なアーキテクチャの変更を導入しています。
更新は設定ファイルにおけるキーのプレーンテキスト保存を排除し、アクティブなキー管理メカニズムと組み合わせた暗号化ストレージで置き換えます。
この再設計は、攻撃者がサーバーへの部分的なアクセスを獲得した場合でも、セッションをなりすましするために暗号化資料を簡単に抽出または再利用できないことを保証します。
新しいモデルは認証ワークフローを大幅に強化し、セッション偽造のリスクを軽減します。
26.1以前のすべてのScreenConnectバージョンはCVE-2026-3564に対して脆弱です。古いデプロイメントを実行している組織はセッションハイジャック攻撃の可能性にさらされており、自社環境を即座のリスクとして考慮すべきです。
ConnectWiseはこの脆弱性を緊急パッチシナリオとして扱うべきであることを強調しています。
セキュリティチームはまた、サーバーアクセスログを確認し、異常なセッション動作を監視すべきであり、特に無許可のセッション乗っ取りまたは異常な認証パターンを監視すべきです。
この脆弱性は、リモートアクセスツールにおける不適切な暗号化キー管理に関連するリスクを強調しています。
機密キーをアクセス可能な設定に保存することは、攻撃者が環境全体の信頼メカニズムを損なうために悪用できる単一の障害ポイントを作成します。
翻訳元: https://cyberpress.org/screenconnect-flaw/