Critical FileWave MDM Flaws Open Organization-Managed Devices to Remote Hackers
2022/07/26 TheHackerNews — FileWave の Mobile Device Management (MDM) システムに、リモート攻撃を許し、接続されているデバイス群の制御を許してしまう、2つの深刻なセキュリティ脆弱性が発見された。Claroty のセキュリティ研究者である Noam Moshe は、月曜日のレポートで、「これらの脆弱性はリモートから悪用が可能であり、攻撃者は認証メカニズムを回避し、MDM プラットフォームと管理デバイスを完全に制御することができる」と説明している。
FileWave MDM は、クロス・プラットフォームの MDM ソリューションである。したがって、それを利用する IT 管理者は、スマフォ/タブレット/ノートPC/ワークステーション/スマート TV などの、すべてのデバイスの管理/監視が可能になる。
このプラットフォームは、必要なソフトウェアとアップデートのプッシュ/デバイスの設定変更/デバイスのリモートワイプなどを行うチャネルとして機能し、その全てがセンタライズされたサーバから配信される。
Claroty が発見した2つの脆弱性は、認証バイパス (CVE-2022-34907) /ハードコードされた暗号鍵の使用 (CVE-2022-34906) に関連するものだった。これらの脆弱性により、攻撃者は正規の機能を悪用し、機密データの流出/不正なパッケージのインストールなどが可能になるという。
Claroty の検出により、政府/教育機関/大企業に属する、インターネット接続可能な FileWave サーバが 1,100台以上も発見され、それぞれが無数の管理対象デバイスを含んでいることが判明している。
この脆弱性が悪用に成功したリモートの攻撃者は、インターネットにアクセス可能なインスタンスに無許可でアクセスし、管理対象のデバイスを乗っ取り、ネットワーク上の全てのデジタル資産にアクセスできるようになる可能性があるようだ。
Noam Moshe は、「この脆弱性の悪用により、サーバーが管理する全てのデバイスを制御することが可能になる。具体的には、ユーザー名/電子メールアドレス/IP アドレス/位置情報などの、デバイスが保持する全ての機密データの流出や、管理デバイスへの悪意のソフトウェアのインストールなどが生じる」と説明している。
これらの脆弱性は、2022年7月14日にリリースされた、バージョン 14.7.2 で対処されている。FileWave のユーザーには、攻撃の被害に遭わないよう、直ちにアップデートを適用することが推奨されている。
今回の調査結果は、ソフトウェア・サプライチェーンにおける、エンドポイント管理製品のセキュリティ確保の必要性を浮き彫りにしている。2021年にサイバー犯罪組織 REvil は、Kaseya の IT マネジメント・ソリューションのゼロデイ脆弱性を悪用し、下流に位置する 1,500 の企業に対してランサムウェア攻撃を仕掛けている。
Claroty のレポートによると、インターネット接続可能な FileWave サーバが 1,100台以上も検出されたそうです。おそらく、Claroty から FileWave への報告があり、さらに FileWave ユーザーへの警告も行われているはずなので、Kaseya の Virtual System Administrator (VSA) のゼロデイのときのようなことは起こらないと思います。サプライチェーン攻撃は、ほんとうに恐ろしいものであり、瞬間的に被害が拡大していきます。よろしければ、Kaseya で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.