Critical zero-day vulnerability in MOVEit Transfer exploited by attackers!
2023/06/01 HelpNetSecurity — Progress Software の企業向け MFT (Managed File Transfer) ソリューションである、MOVEit Transfer に存在する深刻なゼロデイ脆弱性が、脅威アクターたちによる企業データ窃取に悪用されている。同社は 5月31日のアドバイザリで、「この脆弱性が悪用されると、権限昇格や環境への不正アクセスにつながる可能性がある。パッチを作成するまで、MOVEit Transfer 環境を保護してほしい」と顧客に呼びかけている。
Progress の警告では、少なくとも過去 30日間にさかのぼり、不正アクセスの指標を確認すべきとも指摘されているが、最初の悪用が始まった時期については、現時点で特定できていないようだ。
何が起きているのか?
セキュリティ研究者である Kevin Beaumont は、「英国で多用されている、セキュアなファイル転送アプリ MoveIT の脆弱性について、多くの人々が私に警告を発してきた。調べてみたところ、どうやらゼロデイ脆弱性が積極的に悪用されているようだ。脅威アクターについては、まったく特定できていないが、ランサムウェアや恐喝グループの1つかもしれない」と述べている。
また、サイバー・セキュリティ専門家である Daniel Card (Shodan) によると、インターネット上で発見できる MOVEit Transfer サーバは 2,500件以上あり、その大半が米国にあるようだ。
MOVEit Transfer の脆弱性:何ができるのか?
Progress Software は、MOVEit Transfer 環境への全ての HTTP/HTTPS トラフィックを一時的に無効にし、修正された下記のバージョンのいずれかにアップグレードするよう、ユーザーに助言している:
- MOVEit Transfer 2023.0.1
- MOVEit Transfer 2022.1.5
- MOVEit Transfer 2022.0.4
- MOVEit Transfer 2021.1.4
- MOVEit Transfer 2021.0.6
さらに、すべての MOVEit Transfer インスタンスにおいて、”c:\MOVEit Transfer\wwwroot\” フォルダに不審なファイルが作成されていないか、また、不審な大容量ファイルのダウンロードの有無を確認することも推奨されている。
また、実際の攻撃について、より最新の情報を持っていると推測される、Beaumont が列挙する対策には、内部ネットワークからインスタンスを切り離す/新しく作成または変更された .asp ファイルを確認する/全ての IIS ログとネットワークデータ量のログのコピーを保存するなどがある。
Beaumont は、「Webshell がドロップされるようになった」と、新たな情報を共有している。
Reddit のコメント欄を見ると、雇用主が祝日に被害を受け、MoveIt サイトから大量のファイルがコピーされたと述べる者や、探すべき侵害の特定の指標について防御者に助言する者がいる。
この脆弱性が、Progress Software により発見されたタイミングが、脆弱性の活発な悪用が確認された後であったことから、ゼロデイという扱いになっている。
今回のインシデントは、企業の管理ファイル転送ツールのゼロデイが攻撃者に悪用された、2023年に入ってから2件目の事例となる。1件目は、Fortra GoAnywhere ソリューションで発生した、リモート・コード実行の脆弱性 CVE-2023-0669 に関するものだ。この脆弱性は、ランサムウェア・グループ Cl0p に悪用されている。
2023年2月に発生した GoAnywhere の脆弱性を悪用する攻撃は、著名な大手企業を巻き込むかたちで、瞬く間に被害が広がりました。OS により十分なアクセス権が与えられている、ファイル転送ソリューションが攻撃されたときの怖さを目の当たりにしましたが、それが MOVEit (CVE-2023-34362) で繰り返されるのでしょうか? すでに、いくつかの続報が出ているようです。
IoT OT Security News 
You must be logged in to post a comment.