ConnectWise

ConnectWise は、ConnectWise Recover および R1Soft Server Backup Manager (SBM) セキュア バックアップ ソリューションの重大な脆弱性に対処するためのセキュリティ アップデートをリリースしました。

セキュリティ上の脆弱性は、同社が本日発行したアドバイザリで「ダウンストリーム コンポーネントによって使用される出力の特殊要素の不適切な中和」と説明されているインジェクションの脆弱性によるものです。

影響を受けるソフトウェア バージョンには、ConnectWise Recover 以前および R1Soft SBM v6.16.3 以前が含まれます。

Connectwise は、これが重大な脆弱性であり、攻撃者が機密データにアクセスしたり、コードをリモートで実行したりできる可能性があると付け加えました。

また、攻撃で悪用されるか、実際に標的にされるリスクが高い欠陥として、優先度の高い問題としてタグ付けしました.

Code White のセキュリティ研究者であるFlorian Hauserによって発見され、Huntress Labs のセキュリティ研究者であるJohn HammondCaleb Stewartによって拡張されたこの脆弱性は、Huntress Labs の CEO である Kyle Hanslovan によると、インターネット上に公開されている何千もの R1Soft サーバーを介して「ランサムウェアをプッシュ」するために使用される可能性があります。

Shodan のスキャンによると、ConnectWise がこの RCE バグのパッチをリリースして以来、パッチが適用されていない場合、インターネットに公開されている 4,800 以上の R1Soft サーバーが攻撃にさらされる可能性があります。

インターネットに公開された R1Soft サーバー
インターネットに公開された R1Soft サーバー (Shodan)

「影響を受ける ConnectWise Recover SBM は、Recover の最新バージョン (v2.9.9) に自動的に更新されています」と ConnectWise は述べています。

一方、R1Softのユーザーは「 R1Softのアップグレードwikiを使って、サーバーバックアップマネージャーを2022年10月28日にリリースされたSBM v6.16.4にアップグレードする」ようアドバイスされていました。

同社はまた、影響を受けるすべての R1Soft バックアップ サーバーにできるだけ早くパッチを適用することを推奨しました。

重大な脆弱性にパッチを適用することは常に称賛に値しますが、週末の金曜の夜にパッチを適用することは、危険ではないにしても残念なタイミングです。

これは、脅威グループがその機会に飛びついてエクスプロイトを開発し、パッチが適用されていないインターネットに公開されたサーバーを侵害するためです。

週末は、攻撃者が最も活発に活動する時期でもあります。ほとんどの IT およびセキュリティ チームは、悪意のある活動を検出して阻止することができないためです。

また、週末のリリースでは、週末前に脆弱なサーバーにパッチを適用することが難しくなり、少なくとも数日間、より多くのシステムが攻撃にさらされます。

さらに、R1Soft SBM バックアップ ソリューションは、 マネージド サービス プロバイダーやクラウド ホスティング プロバイダーの間で人気のあるツールです。

MSP の R1Soft が侵害されたサーバーは、重大な影響を伴うセキュリティ インシデントにつながる可能性があり、ConnectWise のタイミングはさらに不幸なものになります。