サイバーセキュリティ・インフラストラクチャセキュリティ局(CISA)は、CVE-2024-1708として追跡されているConnectWise ScreenConnectの重大な脆弱性の積極的な悪用に関する緊急アラートを発行しました。
2026年4月28日、同機関はこの欠陥を既知悪用脆弱性(KEV)カタログに追加し、脅威アクターによる確認された野生での悪用を示唆しています。
KEVの追加は問題の深刻性を強調し、拘束力のある運用指令(BOD)22-01の下で連邦文民行政機関(FCEB)による即座の改善を必要としています。
ConnectWise ScreenConnectは、管理者がエンタープライズ環境全体のエンドポイントにアクセスできるようにする、広く使用されているリモートデスクトップおよびIT管理ソリューションです。
その特権的なアクセス機能により、プラットフォームは初期アクセスやラテラルムーブメントを求める攻撃者にとって高値ターゲットを表しています。
リモートアクセスツールは本質的に従来のネットワーク周辺防御をバイパスします。侵害された場合、エンドポイントに対する直接的な制御を敵対者に提供し、認証情報の収集、データの流出、およびネットワーク全体の侵害を可能にします。
CVE-2024-1708はパストトラバーサル脆弱性(CWE-22)として分類されています。この欠陥により、攻撃者は意図されたディレクトリ制限をバイパスする方法でファイルパスを操作できます。
この弱点を悪用することにより、リモートの認証されていない攻撃者は以下の可能性があります:
実際には、これはシステム全体の侵害をもたらす可能性があり、特にScreenConnectがインターネットに露出している環境では顕著です。
現在のところランサムウェアキャンペーンへの確認された帰属はありませんが、脆弱性の性質はランサムウェアの展開、初期アクセス仲介、または永続化メカニズムに非常に適しています。
管理サービスプロバイダー(MSP)環境でのScreenConnectの役割を考えると、悪用はサプライチェーンスタイルの攻撃を可能にすることもでき、複数の下流クライアントに影響を与えます。
CISAは、連邦機関が2026年5月12日までに脆弱性を改善することを義務付けています。このデッドラインは、積極的な悪用ステータスとパッチが適用されていないシステムがもたらす高いリスクを反映しています。
指令は連邦機関にのみ拘束力がありますが、CISAはすべての組織が露出を最小化するために同じ改善タイムラインを採用することを推奨しています。
セキュリティチームはリスク露出を減らすための即座のステップを取るべきです:
プロアクティブな監視と迅速なパッチ展開は、継続的な悪用に対抗するために防御する際に引き続き重要です。
翻訳元: https://cyberpress.org/connectwise-screenconnect-vulnerability/
