CISA KEV 警告 23/06/02:Progress MOVEit の脆弱性 CVE-2023-34362 を追加

CISA orders govt agencies to patch MOVEit bug used for data theft

2023/06/04 BleepingComputer — CISA は、Progress MOVEit MFT (managed file transfer) ソリューションに存在し、積極的に悪用される脆弱性を、既知の悪用リストに追加し、米国連邦政府機関に対しては、6月23日までにシステムにパッチを当てるよう命じた。この深刻な脆弱性 CVE-2023-34362 は、SQL インジェクションの欠陥であり、認証されていないリモートの攻撃者に対して、MOVEit Transfer データベースへのアクセスと、任意のコード実行を許すものだとされる。


2022年11月に発生発せられた米政府の拘束的運用指令 (BOD 22-01) によると、連邦民間行政機関 (FCEB) は、CISA の Known Exploited Vulnerabilities カタログに追加された脆弱性に対して、パッチの適用が必須となる。

BOD 22-01 は、主に連邦政府機関を対象としたものであるが、民間企業においても、積極的に悪用される MOVEit Transfer の脆弱性に関しては、システムの安全性をアク補するために、優先して対処することが強く推奨されている。

Progress は、すべての顧客に対して、MOVEit Transfer インスタンスにパッチを適用し、悪用の試みと潜在的な侵害をブロックすることを推奨している。

また、セキュリティ・アップデートを直ちに適用できない場合は、MOVEit Transfer 環境への HTTP/HTTPS トラフィックを全て無効化し、攻撃対象範囲を狭めることも可能である。

影響を受ける MOVEit Transfer のバージョンと、修正されたバージョンの一覧は、以下の表で確認できる。

現時点において、インターネット上には 2,500台以上の MOVEit Transfer サーバが存在し、その大半は米国に置かれている。

Mandiant CTO である Charles Carmakal は、「遅くとも 5月27日から、ゼロデイ脆弱性としての CVE-2023-34362 の悪用が始まっている。それを Progress が公にし、脆弱なシステムに対するセキュリティ・パッチ・テストを開始する4日前に、この脆弱性は脅威アクターたちに悪用されている。この数日間において、大量の悪用と、広範なデータ盗難が発生している。Mandiant は、脅威アクターの動機を把握していないが、盗まれたデータに関連する恐喝と公開に対して、それぞれの組織は備えるべきだ」と、BleepingComputer に語っている。

Web シェルのドロップとデータ窃取での悪用

BleepingComputer は、新たに発見された Web シェル (Mandiant は LemurLoot と命名) を介して、すでに複数の組織が侵入され、データを接種されていることを確認している。この LemurLoot により、攻撃者による Azure Blob Storage アカウント情報の収集が容易になり、そのコンテナからのデータ窃取へといたる恐れが生じる。

Mandiant は、MOVEit Transfer サーバを標的とした攻撃と、他のファイル転送システムへのゼロデイ攻撃を比較している。その結果として、Clop ランサムウェア・ギャングのリークサイトを通じて、データ盗難強要を試みたとされる、金銭的動機に基づく脅威グループ FIN11 との関連性を示唆している。

現時点においては、攻撃者による恐喝は開始されていないため、その身元は不明である。しかし、その悪用方法は、2020年12月に発生した Accellion FTA サーバのゼロデイ脆弱性の悪用および、2023年1月の GoAnywhere MFT の悪用などの事例と、著しい類似性を持っている。GoAnywhere MFT と Accellion FTA は、悪名高いランサムウェア集団 Clop の標的となっていた。

文中で指摘されているように、GoAnywhere に続いて MOVEit でもサプライチェーン攻撃が始まったようです。すでに、第一報としては 2023/06/01 の「MOVEit Transfer に深刻なゼロデイ脆弱性:既に活発に悪用されている」がありますが、その時点では原因が判明していませんでした。そして、今日の記事ではデータベースへの不正アクセスと、任意のコード実行の脆弱性であるというところまで解明できたようです。この件は、まだまだ続報が出てきそうです。