新たな脆弱性が発見されたとき、ITおよびセキュリティチームはそれに対して迅速に保護策を講じる必要があります。ConnectWise ScreenConnectのユーザーにとって、その時間は今です。CVE-2024-1708の脆弱性が積極的に悪用されています。
CISAは、アクティブな悪用の証拠が見つかった後、CVE-2024-1708を既知の悪用された脆弱性カタログに追加しました。この脆弱性はCVSSスコア8.4の高い深刻度を持ち、リモートコードの実行を可能にしたり、機密データや重要なシステムに直接影響を及ぼす可能性があります
リモートサポートプラットフォームが攻撃に脆弱な場合、その被害は複数のエンドポイント、サーバー、システムに拡大する可能性があります。このような脆弱性が発見された場合、組織は何をすべきかを知っておくべきです。
ConnectWise ScreenConnectで何が起こったの?
サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は最近、既知の悪用されている脆弱性(KEV)カタログにCVE-2024-1708を含む2つの脆弱性を追加しました。これは、ConnectWise ScreenConnect 23.9.7 およびそれ以前に影響を与えるパストラバーサ�ルの脆弱性です。この脆弱性により、攻撃者がリモートでコードを実行したり、直接機密データや重要なシステムに影響を与えたりする可能性があり、CVSSスコア8.4の高リスクとなっています。
ConnectWiseは2024年2月にその脆弱性に対する修正を公開しました。しかし、CISAのKEVアップデートによると、未パッチのインスタンスは依然として現在のセキュリティの懸念事項です。
CVE-2024-1708は、CVSSスコア10.0の重大なScreenConnect認証バイパス脆弱性であるCVE-2024-1709を含む悪用活動でも観測されています。これらの脆弱性は、ScreenConnectユーザーがパッチの状態を確認し、環境が露出していないかチェックする必要性を強調しています。
なぜScreenConnectの利用がITチームにとって重要なのか
どんなソフトウェアの脆弱性も、特に実際に悪用された証拠があるものは、軽減すべき脅威です。リモートサポートソフトウェアの場合、リスクは一見したよりもさらに深刻です。
リモートサポートツールは技術者をシステムに接続し、管理者アクセスを提供し、環境全体で有人および無人デバイスの管理を行うことができます。そのため、攻撃者にとっては高価値のターゲットとなります。ツールをうまく侵害すると、複数のエンドポイントにアクセスできるようになるためです。
損なわれたリモートサポートが引き起こす可能性のある被害を考えると、ScreenConnectの脆弱性の悪用はリモートサポートソフト�ウェアのセキュリティを確保する重要性についての厳しい警鐘となります。ITチームはパッチを最新の状態に保ち、アクセスガバナンスを維持し、監査ログを有効にし、公開されたソフトウェアを迅速に特定して対処しなければなりません。さもなければ、複数のユーザーとデバイスを危険にさらす可能性があります。
CVE-2024-1708が特に重要な理由は何ですか?
世の中には多くの脆弱性が存在しますが、その深刻度は大きく異なることがあります。CVSSスコアが8.4のCVE-2024-1708は「高」重大度の脆弱性としてランク付けされていますが、それを特に深刻なものとしているのは何でしょうか?
この脆弱性がITチームにとって運用上重要である要因はいくつかあります:
1.それはリモートサポートプラットフォームに影響します
述べたように、リモートサポートプラットフォームに影響を与える脆弱性は、他のシステムを管理するためにこれらのプラットフォームが使用されるため、広範な影響を及ぼす可能性があります。リモートサポートソリューションが侵害されると、すでに導入され、信頼され、特権的なワークフローに結び付いているため、攻撃者が接続されたデバイス全体で自由に動き回るのが容易になります。
露出したリモートサポートツールは、ITオペレーション全体への入口を作り、ネットワーク全体を危険にさらす可能性があります。
2. これは重大な認証バイパスで連鎖しています
単独で脆弱性は脅威をもたらす可能性がありますが、さらに重要な別の脆弱性と組み合わさると、その脅威は指数関数的に拡大する可能性があります。この場合、CVE-2024-1708がCVE-2024-1709と連結されており、CVSSスコア10.0の重要な認証バイパスの脆弱性です。
その結果、この2つの脆弱性に対処しないと、脅威のレベルが「高」から「クリティカル」に急速に上昇する可能性があります。ITチームは文脈の中で脆弱性を評価する必要があります。なぜなら、組み合わせた攻撃はさらに大きな脅威をもたらす可能性があるからです。
3. 悪用がランサムウェア活動に関連付けられています
さまざまな脆弱性の悪用は異なる結果をもたらす可能性がありますが、CVE-2024-1708の脆弱性はランサムウェア攻撃に関連しており、高優先度の脅威となっています。ランサムウェアは、身代金が支払われるまでネットワークやシステム全体をロックすることができ、それにより多額の金銭的損失、生産性の低下、お客様からの信頼の喪失を招く可能性があります。そのため、ランサムウェア攻撃につながる可能性のあるアクティブに悪用されている脆弱性は優先度が高い必要があります。
4. 古い脆弱性は依然として優先度が高いままです
脆弱性が古いからといって、それがもはや脅威でないというわけではありません。CVE-2024-1708は2024年2月に修正されましたが、適切に対策されていない場合、依然として悪用される可能性があります。
多くの場合、脆弱性管理は最新の脅威と最近の公開情報に焦点を当てがちです。しかし、古い脅威は依然として存在しており、特にまだ悪用されている場合は、ITチームがサーバー、エンドポイント、またはインフラストラクチャ全体に存在し得る古い脆弱性の可視性を確保する必要があります。
ScreenConnectを使用するITチームが確認すべきこと
あなたの会社がConnectWise ScreenConnectを使用している場合、この脆弱性の被害者にならないために何をすればよいか考えているかもしれません。ネットワークとデバイスを保護するために取ることができるステップの便利なチェックリストをまとめました。
ScreenConnectがあなたの環境に設定されているかを確認: まず始めに、クラウド、オンプレミス、セルフホスティング、古いバージョンのScreenConnectのインスタンスをすべて特定する必要があります。これにより、正しいデバイスを確認し、インスタンスを見逃すことがありません。
各インスタンスで動作しているバージョンを確認:ScreenConnectを実行している場合でも、リスクのないバージョンかもしれません。CVE-2024-1708(または関連するScreenConnectの脆弱性)の影響を受けたバージョンが実行されているScreenConnectの設定があるかどうかを確認してください。
パッチの状態を確認: デバイスが適切にパッチされている場合、すでに安全かもしれません。次のステップは、パッチの状況を確認し、更新が正常に適用されたことを確認することです(スケジュール済みや完了したとみなすだけではありません)。
インターネットへの公開を確認: すべてのScreenConnectインスタンス、サーバー、または管理インターフェイスが外部からアクセス可能かを確認します。もしそうであれば、アクセスが制限され、パッチが適用され、��監視され、権限を持つ管理者に限定されていることを確認してください。
管理者ユーザーとアクセス許可のレビュー: 古いアカウントがアクセス許可を保っていると、重大なサイバーセキュリティの脆弱性になり得ます。不要な管理者アカウント、古いユーザー、過剰な権限、または侵害される可能性のある多要素認証 (MFA) を欠くアカウントがないか確認してください。
ログを確認して不審な活動がないか点検: ログの点検は、すでにアカウントが侵害されているかの確認に役立ちます。悪意のある行為者を示している可能性のある、予期しないセッション、未知のユーザー、設定変更、新しいアカウント、または異常なアクセスパターンを探してください。
下流への影響を評価する: 攻撃の潜在的な影響を特定することも重要です。特に複数のデバイスを管理している場合はなおさらです。複数の環境をサポートするMSPsおよびITチームは、顧客または管理されるエンドポイントが影響を受ける可能性があるかどうかを確認し、保護するための措置を講じるべきです。
ドキュメントの修復手順: 明確なドキュメントを保持することが重要です。チェックしたこと、更新したこと、レビューしたことを記録し、監査やインシデント対応のための証拠を維持します。
リモートサポートのセキュリティにとっての意味
CVE-2024-1708や他の類似の脅威を避けたい場合、リモートサポートソフトウェアのための良好なセキュリティが不可欠です。強力なセキュリティ機能とエンドポイント管理により、脆弱性や攻撃に対する防御を改善できますが、これは戦略と計画が必要です。
セキュアなリモートサポート戦略は以下を考慮すべきです:
パッチ適用の速度と更新の信頼性、できればパッチの自動化を含む。
デバイスとその上に設定されたソフトウェアの集中管理。
MFAやSingle Sign-On (SSO)を含む強力な認証、適切な場合には。
詳細な技術者権限とロールベースのアクセス制御(RBAC)で、誰が何にアクセスできるかを制御します。
アカウンタビリティを維持し、疑わしい活動を特定するためのセッションログと監査証跡。
セキュアな無人アクセス制御。
どのデバイスがリモートアクセス可能かを明確に把握。
リモートサポートインフラストラクチャに脆弱性が影響を与えた場合の迅速な対応ワークフロー。
リモートサポート、エンドポイントの可視性、パッチ修正の統合でワークフローを改善し、すべてを一箇所にまとめます。
リモートサポートツールを評価する際に尋ねるべき質問
セキュアなリモートサポートには、強力なアクセス制御、明確な可視性、信頼性のあるパッチ適用、及び監査対応のログを備えたソリューションが必要です。市場には多くのリモートサポートツールがありますが、オプションを評価し、すべてのニーズを満たすものを決定することが重要です。
リモートサポートソフトウェアを検討するときは、以下の点を考慮してください:
管理者がMFA、SSO、そして詳細なアクセス許可を適用することはできますか?
技術者のアクセスを制限できますか?それでは、それはユーザー、グループ、デバイス、または役割によって制限されていますか?
セッションログはレビューと監査のために利用可能ですか?
無人アクセスを承認されたユーザーに制限して制御できますか?
セキュリティ更新はどのくらいの速さでテスト、展開、確認できますか?
ITチームは、環境全体で古いソフトウェアを識別できますか?
このプラットフォームは、分散されたハイブリッド、リモートエンドポイント全体の可視性をサポートしていますか?
ITチームは手動でフォローアップすることなく、パッチ適用と修正のワークフローを管理できますか?
このソリューションはリモートサポートとエンドポイント管理機能を組み合わせていますか?
SplashtopがITチームのリモートサポートセキュリティを強化する方法
分散環境全体でユーザーとエンドポイントをサポートするためにITチームを強化したいなら、堅牢で安全なリモートサポートソリューションとエンドポイント管理が必要です。幸いなことに、Splashtopがそのニーズを満たします。
Splashtopは、リモートおよびハイブリッドな作業環境のために作られた集中コントロールを使用して、どこからでもリモートアクセスし、リモートデバイスを管理するためのセキュアなサポートをITチームに提供します。これにより、チームはユーザー、デバイス、およびアクセス許可を一元管理し、手を使ったトラブルシューティングのためにデバイスにリモートアクセスし、リモート環境をサポートするために必要な可視性を維持できます。
Splashtop AEM(Autonomous Endpoint Management)を使用すると、ITチームはネットワーク全体のデバイスを、自動化された脅威検出、パッチ管理などでサポートできます。Splashtop AEM は、リアルタイムのパッチ適用、CVEに基づくインサイト、ポリシーベースの自動化、エンドポイント全体の可視性を、シングルで使いやすいダッシュボードから提供します。これにより、ITチームは反応的から予防的に移行し、デバイス全体のセキュリティを強化します。
Splashtopに含まれているものは:
オペレーティングシステムやデバイスをまたいでのセキュアなリモートアクセスとリモートサポート。
管理を簡単かつ効率的にするための中央管理コントロールと詳細な権限。
SSO/SAML、MFA、ログ記録、録画オプションで各セッションをセキュアに保ちます。
オペレーティングシステムやサードパーティアプリケーション全体のリアルタイムパッチ管理用Splashtop AEM。
エンドポイントのインベントリとレポーティングにより、脆弱なソフトウェアを一目で特定できます。
CVEベースの脅威検出とインサイトでパッチ優先順位付けを支援します。
1対多のアクションと自動化で、反復的な手作業を減らします。
パッチの状態、エンドポイントの健康状態、および監査準備状況を可視化する集中ダッシュボード。
脆弱性を先取りする
ConnectWise ScreenConnectの脆弱性は、リモートサポートプラットフォームにおける強力なセキュリティの必要性を改めて思い起こさせるものである。これらは重要なITインフラストラクチャであり、そのように扱われるべきであり、強力なアクセス制御、信頼性のあるパッチ適用、明確なエンドポイントの可視性が必要です。
リモートサポートは、どこからでもユーザーを支援し、デバイスのトラブルシューティングを行う優れた方法ですが、提供されるアクセスのレベルは、セキュリティが確保され最新でないと脅威となる可能性があります。ITチームは時間をかけて、自分たちが露出していないか確認し、パッチの状況を確認し、使用しているリモートサポートツールが必要なセキュリティとコントロールを提供しているかどうかを評価する必要があります。
現在のリモートサポートツールがチームに必要な可視性、アクセス制御、エンドポイント管理ワークフローを提供していない場合は、より安全で効率的なアプローチを検討する時期かもしれません。
Splashtop が IT チームにどのように役立ち、安全なリモートサポートとエンドポイント管理を1つのプラットフォームから提供できるかをご覧ください。今すぐ無料トライアルを始めましょう。
