Trusted Design

解説:

CVE‑2024‑1708 は ConnectWise ScreenConnect に存在する パストラバーサル（Zip Slip）による RCE 脆弱性 です。23.9.7 以前の全バージョンが影響し、CISA KEV に登録されている “悪用確認済み” の重大インシデントです。

1. 脆弱性の概要

ConnectWise ScreenConnect（旧：ScreenConnect）23.9.7 およびそれ以前に存在するパストラバーサル（Path Traversal / Zip Slip）脆弱性。拡張機能（.zip）をアップロードする処理においてファイルパス検証が欠落しており、../ を含む悪意ある zip を展開すると任意の場所にファイルを書き込める。
その結果、攻撃者は webshell の設置 → RCE（リモートコード実行） が可能となる。

1.1 影響

• 任意ファイルの書き込み
• Webshell 設置による RCE（完全なサーバー乗っ取り）
• ScreenConnect を踏み台にした横展開
• MSP（Managed Service Provider）環境では サプライチェーン攻撃に発展する可能性
• CISA により 悪用確認済み（KEV 登録）

1.2 深刻度

CVSS 3.1（CISA 評価）: 8.4（High）
Vector: AV:N / AC:L / PR:H / UI:R / S:C / C:H / I:H / A:H

2. 対象となる環境

2.1 影響バージョン

• ScreenConnect 23.9.7 およびそれ以前のすべてのオンプレミス版
• 修正版：23.9.8 以降

2.2 影響を受ける条件

• ScreenConnect がインターネットに公開されている
• 拡張機能（.zip）アップロード機能が有効
• 認証バイパス（CVE‑2024‑1709）と組み合わせると 完全自動化攻撃が成立 （※1709 は同時公開された認証バイパスで、1708 と組み合わせて “SlashAndGrab” と呼ばれる攻撃チェーンを形成）

3. 侵害の兆候（IOC）

（一次情報ベース）

• App_Extensions 配下に不審な .aspx / .exe
• ScreenConnect の Webroot に不審なファイル
• 管理者アカウントの不審な操作
• 外部 C2 への通信
• ランサムウェア展開の前兆（Huntress が観測）

4. 推奨対策

4.1 恒久対策

• 23.9.8 以降へアップデート（ConnectWise 公式パッチ）
• CISA KEV に従い、2026/5/12 までに修正必須（米国連邦機関）

4.2 暫定回避策

• ScreenConnect を外部公開しない
• WAF で zip アップロードを制限
• 拡張機能アップロード権限を最小化
• Webroot の整合性監視
• EDR によるプロセス監視強化

5. 参照サイト（一次情報）

• NVD
• ConnectWise Security Bulletin
• CISA KEV
• Huntress 技術分析