IBM の Aspera Faspex の脆弱性 CVE-2022-47986：危険性を考慮した対策が必要

Patch Now: Cybercriminals Set Sights on Critical IBM File Transfer Bug

2023/03/30 DarkReading — IBM のファイル転送スタック Aspera Faspex に存在する、任意のコード実行の脆弱性に対するパッチ適用が滞っていることで、ランサムウェア・ギャングなどのサイバー犯罪者の目に留まりはじめている。この深刻な脆弱性に対して、IBM がパッチをリリースしてから数ヶ月が経つが、脅威アクターたちにより野放し状態で悪用されていると、今週に Rapid7 の研究者たちが報告している。先日に、Rapid7 の顧客が、この脆弱性 CVE-2022-47986 により危険にさらされたことで、研究者たちは、早急な対策が必要であると述べている。

Rapid7 の Senior Manager of Security Research である Caitlin Condon は、「通常のパッチ・サイクルを待たずに、緊急にパッチを当てることを、強く推奨する」と、ブログの中で警告している。

この脆弱性 CVE-2022-47986 は CVSS 9.8

IBM Aspera Faspex は、Fast Adaptive and Secure Protocol (FASP) を利用し、通常の TCP 接続よりも高速でファイル転送を実現する、クラウドベースのファイル交換アプリケーションである。Enlyft によると、Red Hat やカリフォルニア大学などで Asperaサービスは使用され、高い評価を受けているという。

そして、この脆弱性 CVE-2022-47986 だが、Faspex のバージョン 4.4.2 Patch Level 1 に存在し、CVSS 値は 9.8 となっている。

2023年1月26日に発表された IBM のセキュリティ情報では、「特別に細工した旧式の API コールを送信する攻撃者は、Faspex を実行しているターゲット・システム上で、自身のコードをリモートで展開できる」と説明されている。

この脆弱性は、2022年10月6日に IBM に報告され、12月8日の 4.4.2 Patch Level 2で改善された。

この悪用のアクティビティは、今年の初めにパッチが発行された直後から始まっている。その時期は、IceFire ランサムウェア・グループが、Windows システムから Linux システムへと、ターゲットを移行したときと重なる。 その際に、技術的な問題が発生したことで、新たな侵入方法を、つまり 脆弱性 CVE-2022-47986 を悪用する方法へと、IceFire は移行した。Windows は普遍的であるが、Linux はサーバ上の運用で用いられることが最も多いという、両者の違いがある。

それ以来、この悪用が容易な脆弱性に、数多くのサイバー犯罪組織が飛びつくようになってきた。2023年2月に Shadowserver Foundation が検知したのは、この脆弱性を悪用する未知の脅威アクターが、Buhti ランサムウェアを展開しているという現実である。

パッチを選ぶか、回避策を選ぶか？

その一方で Caitlin Condon は、脆弱性 CVE-2022-47986 に対しては Patch Level 2 を、あるいは、3月20日にリリースされた Patch Level 3 を適用することで、まったく問題なく対応できると述べている。これほど簡単な解決策が、数クリックで手に入るというのに、依然として脆弱な組織が存在するのは、なぜなんだろうか？

多くのケースにおいて、その答えは過失なのかもしれない。Caitlin Condon は、「人々は、必ずしも一貫した定期的なパッチ・サイクルを持っているわけではない。我々は、脆弱なソフトウェアやアプライアンスが、問題が発見されてから数ヶ月後であっても、時には、数年後であっても、依然としてインターネットに公開されている状況を見てきた。 実際のところ、2月の時点で、Aspera Faspex が Web 上に公開されている事例が、140件近くあった」と指摘している。

さらに Caitlin Condon は、「特定のケースにおいて、パッチの適用が難しいとしても、驚くべきことではない。私たちの分析の多くは、単にソフトウェアをセットアップして動作させるだけのものだ。つまり、セットアップが簡単なソフトウェアであっても、そのソフトウェア・スタックが複雑であれば、パッチの適用が困難なる」と述べている。

Caitlin Condon は、「まだ、パッチが未適用であり、また、すぐに適用できない企業は、自らを守るための選択肢が限られる。Aspera Faspex を、オフラインにすることがきわめて重要になる。最終的には、確実な対策としてのパッチ適用を選ぶか、このソフトウェアの完全な放棄を選ぶことになる。パッチが当てられないなら、シャットダウンすべきだと言っても、すべての組織にとって、必ずしも現実的で選択ではないことは承知している。したがって、少なくとも、パブリックなインターネットから Aspera Faspex を取り除き、思いつく限りの対策を施してほしい」と付け加えている。

この、Aspera Faspex の脆弱性 CVE-2022-47986 ですが、2023/02/21 に CISA KEV に追加されています。また、2023/03/09 の「IceFire というランサムウェアが登場：IBM Aspera Faspex を悪用して Linux ネットワークを攻撃」には、「IceFire として知られている Windows ベースのランサムウェアが、世界中のメディアやエンターテイメントの組織で運用されている、Linux エンタープライズ・ネットワークへとターゲットを拡大している」と記されています。なお、このブログに IceFire が登場したのは、上記の記事が初めてとなっています。