ConnectWise ScreenConnect CVE-2024-1708 / 1709 — MSP 経由のサプライチェーン侵害
CVE-2024-1708 は、リモート管理・サポートツール「ConnectWise ScreenConnect」のパストラバーサル脆弱性で、攻撃者がディレクトリ階層を遡り、任意のファイル読み書きやリモートコード実行を成立させる。ScreenConnect は MSP(マネージドサービスプロバイダー)が顧客環境を遠隔操作するために使う製品で、本ツールの侵害は配下顧客全体の同時侵害につながりうる。2024 年 2 月の公開直後から大規模な悪用が観測された。
概要
- 識別子:CVE-2024-1708(パストラバーサル)、関連で CVE-2024-1709(認証バイパス)
- CVSS v3.1:8.4(High) — ただし CVE-2024-1709 との連鎖で実質 Critical
- 影響を受けるバージョン:ConnectWise ScreenConnect 23.9.7 以前
- 修正バージョン:23.9.8 以降
- 悪用観測:CISA KEV 収録、Black Basta / LockBit 等のランサムウェアグループが採用
技術的な詳細
脆弱性のメカニズム
CVE-2024-1708 は ScreenConnect の Web アプリケーションが、ユーザー入力に基づくファイルパス処理で ../ 等のディレクトリ階層遡及を適切にフィルタしていなかったことに起因する。攻撃者は管理画面の特定エンドポイント経由で、サーバーの任意のディレクトリにある設定ファイルや認証情報を読み取れる。CVE-2024-1709(認証バイパス)と組み合わせると、管理者画面に未認証で到達し、新規拡張機能を仕込んで任意コード実行に発展させる典型的なエクスプロイトチェーンが成立する。
攻撃ベクター
- ScreenConnect のセットアップウィザード URL(
/SetupWizard.aspx)への直接アクセスで管理者作成バイパス - 管理者権限で拡張機能(ScreenConnect Extension)をアップロードし、サーバー上で任意コード実行
- 侵害後、ScreenConnect 配下の顧客環境すべてに同時に侵入できる「中間者」ポジションを獲得
影響範囲
- ConnectWise ScreenConnect 23.9.7 以前を運用中のすべての MSP / 内製運用組織
- クラウド版は ConnectWise 側で対応済み。オンプレ版が標的
- MSP の場合、配下の顧客企業全体への侵害源となる可能性
推奨される技術的対応
- 即時:ScreenConnect 23.9.8 以降にアップグレード
- 事後確認:拡張機能一覧で身に覚えのないものを探す。
App_Extensionsディレクトリのファイル変更タイムスタンプ確認 - 恒久:管理画面アクセスを社内 IP に限定。多要素認証を強制
非エンジニア向け — 経営・管理部門に向けた解説
何が問題か(1 分で)
IT サポート会社や情シス部門が、自社・顧客の PC を遠隔操作するために使う「ScreenConnect」というツールに、外部から侵入できる穴があります。このツール自体を乗っ取られると、つながっている全てのコンピュータが攻撃者の支配下に置かれます。実際にランサムウェアグループがこの穴を悪用して、複数の企業に同時侵入する事例が確認されています。
自社への影響を判断する
- 自社の IT サポートに ScreenConnect が使われているかを情シスに確認
- IT サポートを委託している場合、委託先が ScreenConnect を使っていないか、使っているなら対応状況を契約上で確認
- MSP として顧客にサポート提供している場合、自社の対応が顧客全体のセキュリティに直結する責任
経営判断のポイント
- サプライチェーン経由のセキュリティ侵害は、自社対策だけでは防げない。委託先の脆弱性管理状況を契約上で要求
- 「リモートサポートツール」の利用は便利だが、侵害時の被害が広範。利用ポリシーと監査ログ取得を組織で標準化
出典・関連リンク
本記事は公開情報に基づき Omamori AI 編集部が執筆しました。
