R1Soft Server Backup Manager Vulnerability Exploited to Deploy Backdoor
2023/02/22 SecurityWeek — 昨年に発見された、ConnectWise の R1Soft Server Backup Manager に存在する脆弱性の悪用により、数百台のサーバーにバックドアが展開されていることが判明した。2022年10月下旬に ConnectWise は、R1Soft Server Backup Manager に存在する深刻な脆弱性に対してパッチを提供し、また、それを悪用する攻撃者による、任意のコード実行および機密データへのアクセスを防ぐよう顧客に通知した。その時点において同社は、この脆弱性が野放し状態で悪用される可能性が高いことを警告し、ユーザーに対しては、可能な限り速やかに、パッチを適用するよう促していた。
それから数日が経ったころに、EDR (Endpoint Detection and Response) 企業である Huntress が、R1Soft が使用する ZK Java フレームワークに影響を及ぼす、認証バイパスおよび機密ファイル漏洩の脆弱性が要因であると述べ始めた。この ZK の脆弱性 CVE-2022-36537 には、2022年5月にパッチが適用されている。
Huntress の研究者が実証したのは、認証をバイパスした攻撃者が、バックドア化された JDBC データベース・ドライバをアップロードし、任意のコードを実行できることだ。それにより、このソフトウェアの下流で管理される、すべてのエンドポイントに対して、ランサムウェアなどがプッシュされる懸念が生じた。
Huntress が発した警告は、その時点においてインターネットに公開されていた、約5000台の R1Soft サーバに対するものであり、この脆弱性を悪用するハッカーたちが、対象システム上にランサムウェアを送り込む可能性を示唆するものだった。
それから時間が流れ、サイバー・セキュリティである Fox-IT による、最近のインシデント・レスポンス案件で発見されたのが、R1Soft の脆弱性を悪用したサーバへの初期アクセスが生じていた証拠である。その驚異アクターは、悪意のデータベース・ドライバをアップロードし、バックド・アアクセスを可能にしていた。
Fox-IT の分析により、この脆弱性は 2022年11月下旬から、野放し状態で悪用されていることが判明した。2023年1月9日の時点で Fox-IT は、286台のバックドア・サーバが、米国と韓国などに存在していることを確認した。ただし、2月20日の時点では、146台に減少しているという。
Fox-IT は、2023年2月22日 (水) のブログで、「そこに残された痕跡を用いることで、複数の侵害されたホスティング・プロバイダを、グローバル・レベルで特定できた」と述べている。
同社が観測した攻撃では、侵害されたシステム上の、VPN 設定ファイル/IT管理者情報/機密文書などのファイルが、驚異アクターにより流出させられていた。
Fox-IT が発表した IoC (Indicators of Compromise) により、ユーザー企業における CVE-2022-36537 悪用とハッキングの有無を調査できるという。
2023/02/21 の「Windows の脆弱性 CVE-2023-21752 の悪用を確認:直ちに パッチ適用を!」も、Windows Backup and Restore サービスの問題ですが、攻撃の発生には至っていないようです。その点、今日の R1Soft は、かなり深刻な状況に陥っているようです。R1Soft の問題の原因である、ZK Java フレームワークの脆弱性 CVE-2022-36537 は、すでに CISA KEV に追加されています。他のソフトウェアへの影響も心配です。
IoT OT Security News 
You must be logged in to post a comment.