Cuba ランサムウェアも Exchange 侵害に参戦:Microsoft が警告する OWASSRF 欠陥とは?

Microsoft: Cuba ransomware hacking Exchange servers via OWASSRF flaw

2023/01/12 BleepingComputer — Microsoft によると、Cuba ランサムウェア/ギャングも、Exchange サーバに存在する深刻なサーバ・サイド・リクエスト・フォージェリ (SSRF) の脆弱性を悪用して、Play ランサムウェア攻撃と同様に侵害を繰り返しているようだ。 先日には、この脆弱性 CVE-2022-41080 を悪用する Play ランサムウェアが、 OWASSRF ゼロデイと呼ばれる攻撃により、ProxyNotShell URL リライト緩和策をバイパスした後に、Rackspace ネットワーク上のパッチ未適用の Microsoft Exchange サーバを侵害している。

Microsoft によると、2022年11月下旬から Play ランサムウェアは、この脆弱性 CVE-2022-41080 を悪用しているとのことだ。同社は、潜在的な攻撃を阻止するために、そのためのパッチを優先するよう、顧客に対して助言している。

この Exchangeサーバに存在する SSRF の脆弱性は、同社が DEV-0671 として追跡している脅威グループが、Cuba ランサムウェアのペイロードを展開するために、11月17日ころから悪用されているとのことだ。

Microsoft は、365 Defender/Defender for Endpoint Plan 2/Defender for Business サブスクリプションを契約している顧客が利用できる、プライベート脅威分析レポート 2023年1 月の更新分で、この情報を共有している。

2022年11月8日に Microsoft は、Exchange に存在する SSRF の脆弱性に対応する更新プログラムをリリースし、また、ランサムウェア・ギャングによる悪用を提供している。ただし、この欠陥が実際に悪用されていることは、アドバイザリでは警告されていない。

OWASSRF攻撃に対するExchangeサーバのパッチ適用

CrowdStrike のセキュリティ研究者たちが、Rackspaces ネットワーク上で発見した OWASSRF の脆弱性 CVE-2022-41080 の情報は、Play ランサムウェアの悪用によりオンラインで公表されたものだ。

このインシデントで共有された Play ランサムウェアのツールにより、他のサイバー犯罪者による応用や、カスタム・エクスプロイトの作成が容易になった。したがって、この脆弱性にパッチを当てることが急務となっている。

火曜日には Cybersecurity and Infrastructure Security Agency (CISA) も連邦民間行政機関 (FCEB) に対して、この脆弱性に対するパッチを、1月31日まで適用するよう命じた。さらに、悪用の試みを阻止するために、すべての組織に対して、Exchange サーバの保護を強く促している。

ネットワーク上にオンプレミスの Microsoft Exchange サーバを持つ組織は、最新の Exchange セキュリティ・アップデートを直ちに導入 (2022年11月がミニマム・パッチレベル) する必要がある。また、パッチを適用できるまで、Outlook Web Access (OWA) を無効化する必要がある 。

Cuba ランサムウェア:世界の 100件以上の攻撃の背景に

FBI と CISA は、先月発表した共同セキュリティ勧告において、Cuba ランサムウェア・ギャングが、世界中で 100件以上の侵入を達成し、2022年8月の時点で $60 million 以上の身代金を得ていることを明らかにした。

ただし、被害者が ID-Ransomware プラットフォームに提出したサンプルを見ると、このギャングが活発に動いていないことが分かる。つまり、活動的ではないランサムウェアであっても、大きな影響を与えることが可能だという証明になっているのだ。

Cuba ransomware ID-Ransomware sample submissions
Cuba ransomware sample submissions (ID-Ransomware)

2021年12月の FBI 勧告では、このランサムウェア・グループが、米国の重要インフラ部門の少なくとも 49 の組織を侵害したと警告している。

いずれの勧告においても、Cuba ランサムウェア攻撃に関しては、FBI 支局への報告が強く促されている。一連のランサムウェアのメンバーや、連携しているサイバー犯罪者を特定するために、FBI Cyber Squad と情報を共有してほしいと呼びかけている。

Cuba ランサムウェアほどの歴史はなく、2022年6月に発見されたばかりの Playランサムウェアだが、Rackspace/German H-Hotels Hotel Chain/Belgium city of Antwerp/Argentina’s Judiciary of Córdoba などを攻撃し、世界で数十の被害者を生み出している。

2023年が明けて、注目を集めているインシデントとしては、この Rackspace におけるパッチ未適用の Microsoft Exchange サーバへの侵害が挙げられます。2022年11月にパッチが適用されたのに、なぜ Rackspace は侵害を許したのかという点については、上記のリンクをご参照ください。よろしければ、2022年12月21日の「Exchange Server を攻撃する Play ランサムウェア:ProxyNotShell の緩和策をバイパス」も、ご参照ください。