Trusted Design

CVE-2017-18362 の詳細

CVEの情報

説明:
ConnectWise ManagedITSync integration through 2017 for Kaseya VSA is vulnerable to unauthenticated remote commands that allow full direct access to the Kaseya VSA database. In February 2019, attackers have actively exploited this in the wild to download and execute ransomware payloads on all endpoints managed by the VSA server. If the ManagedIT.asmx page is available via the Kaseya VSA web interface, anyone with access to the page is able to run arbitrary SQL queries, both read and write, without authentication.

CVE更新日: 2019-02-05 06:29:00.233000

CVSSバージョン: 3.1

CVSSスコア: 9.8

KEVの情報

KEV更新日: 2022-05-24

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.811320000

EPSS更新日: 2026-06-12 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2017-18362は、ConnectWise ManagedITSync連携機能に存在する深刻なSQLインジェクションの脆弱性です。

1. 脆弱性の概要

1.1 影響

ConnectWise ManagedITSync連携において、認証されていないリモートの攻撃者がKaseya VSAデータベースに対して任意のSQLコマンドを実行できる脆弱性です。これにより、攻撃者は管理ユーザーの作成、既存ユーザーのパスワード変更、または管理下のすべてのエンドポイントにランサムウェア(例:GandCrab)などの悪意のあるソフトウェアをデプロイするためのタスク作成が可能になります。Kaseya RMMツールが管理下の全エンドポイントに対してリモート管理者(SYSTEM)アクセスを持つため、この種の攻撃は、顧客資産の迅速かつ完全な侵害につながる可能性があります。

1.2 深刻度

この脆弱性のCVSSv3スコアは9.8(緊急)と評価されており、極めて深刻な脆弱性です。 実際にアクティブなエクスプロイトが存在し、2019年2月にはこの脆弱性が悪用され、VSAサーバーが管理するすべてのエンドポイントにランサムウェアペイロードがダウンロード・実行される事案が発生しました。

2. 対象となる環境

2.1 影響を受けるOSバージョン

特定のOSバージョンに限定されず、ConnectWise ManagedITSync連携がインストールされたオンプレミス版のKaseya VSAサーバーが影響を受けます。クラウドホスト型Kaseya VSAを利用している場合は、この脆弱性の影響を受けません。

2.2 影響を受ける設定

以下の条件を満たす環境が影響を受けます。 * ConnectWise ManagedITSync連携がKaseya VSAサーバーにインストールされている。 * ConnectWise ManagedITSync連携が2017年までのバージョンである。 * Kaseya VSA Webインターフェースを通じてManagedIT.asmxページがアクセス可能な場合、認証なしで任意のSQLクエリ(読み取りおよび書き込み)が実行できる状態になるため、脆弱性が存在します。

3. 影響を受けた時の兆候

攻撃が成功した場合、以下のような兆候が現れる可能性があります。 * Kaseya VSAデータベース内で、不正な管理ユーザーが作成されたり、既存ユーザーのパスワードが変更されたりする。 * Kaseya VSAが管理するエンドポイントに対して、ランサムウェアやその他の悪意のあるソフトウェアが展開され、実行される。 * Kaseya VSAによって管理されている顧客資産全体が侵害される。

4. 推奨対策

4.1 本対策

  • ConnectWiseから提供されたパッチを適用し、関連するシステムを最新バージョンにアップグレードしてください。
  • ConnectWiseはこの連携機能をマーケットプレイスから削除しているため、脆弱な連携機能の使用を停止することが推奨されます。

4.2 暫定回避策(緩和策)

  • 以下のいずれかの方法で、ConnectWise ManagedITSync連携がインストールされているかを確認してください。
    • 「プログラムの追加と削除」から「ConnectWise MSP Kaseya Web Service」プログラムがインストールされていないか確認する。
    • Kaseya VSAサーバーにManagedIT.asmxファイルがインストールされていないか確認する。
  • これらのファイルやプログラムが見つからない場合、この脆弱性の影響を受けていない可能性が高いです。
  • 公式パッチが提供されていないとの情報もあるため、上記の確認を行い、対象となる環境であれば即座に連携機能の停止またはアンインストールを検討してください。

他に解説すべき観点

  • CWE (Common Weakness Enumeration): この脆弱性は、SQLインジェクションとして分類されます(CWE-89)。
  • EPSS (Exploit Prediction Scoring System): EPSSは80.00%であり、今後30日以内にこの脆弱性がエクスプロイトされる確率が高いことを示しています。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る