ConnectWise は、ConnectWise Recover および R1Soft Server Backup Manager (SBM) セキュア バックアップ ソリューションの重大な脆弱性に対処するためのセキュリティ アップデートをリリースしました。
セキュリティ上の脆弱性は、同社が本日発行したアドバイザリで「ダウンストリーム コンポーネントによって使用される出力の特殊要素の不適切な中和」と説明されているインジェクションの脆弱性によるものです。
影響を受けるソフトウェア バージョンには、ConnectWise Recover 以前および R1Soft SBM v6.16.3 以前が含まれます。
Connectwise は、これが重大な脆弱性であり、攻撃者が機密データにアクセスしたり、コードをリモートで実行したりできる可能性があると付け加えました。
また、攻撃で悪用されるか、実際に標的にされるリスクが高い欠陥として、優先度の高い問題としてタグ付けしました.
Code White のセキュリティ研究者であるFlorian Hauserによって発見され、Huntress Labs のセキュリティ研究者であるJohn HammondとCaleb Stewartによって拡張されたこの脆弱性は、Huntress Labs の CEO である Kyle Hanslovan によると、インターネット上に公開されている何千もの R1Soft サーバーを介して「ランサムウェアをプッシュ」するために使用される可能性があります。
Shodan のスキャンによると、ConnectWise がこの RCE バグのパッチをリリースして以来、パッチが適用されていない場合、インターネットに公開されている 4,800 以上の R1Soft サーバーが攻撃にさらされる可能性があります。
「影響を受ける ConnectWise Recover SBM は、Recover の最新バージョン (v2.9.9) に自動的に更新されています」と ConnectWise は述べています。
一方、R1Softのユーザーは「 R1Softのアップグレードwikiを使って、サーバーバックアップマネージャーを2022年10月28日にリリースされたSBM v6.16.4にアップグレードする」ようアドバイスされていました。
同社はまた、影響を受けるすべての R1Soft バックアップ サーバーにできるだけ早くパッチを適用することを推奨しました。
重大な脆弱性にパッチを適用することは常に称賛に値しますが、週末の金曜の夜にパッチを適用することは、危険ではないにしても残念なタイミングです。
これは、脅威グループがその機会に飛びついてエクスプロイトを開発し、パッチが適用されていないインターネットに公開されたサーバーを侵害するためです。
週末は、攻撃者が最も活発に活動する時期でもあります。ほとんどの IT およびセキュリティ チームは、悪意のある活動を検出して阻止することができないためです。
パッチはドロップされたばかりなので、それらの大部分はまだ脆弱であると思います.自動更新機能はないと思います。
— カイル・ハンスロヴァン (@KyleHanslovan) 2022 年 10 月 28 日
また、週末のリリースでは、週末前に脆弱なサーバーにパッチを適用することが難しくなり、少なくとも数日間、より多くのシステムが攻撃にさらされます。
さらに、R1Soft SBM バックアップ ソリューションは、 マネージド サービス プロバイダーやクラウド ホスティング プロバイダーの間で人気のあるツールです。
MSP の R1Soft が侵害されたサーバーは、重大な影響を伴うセキュリティ インシデントにつながる可能性があり、ConnectWise のタイミングはさらに不幸なものになります。
Comments