New Critical MOVEit Transfer SQL Injection Vulnerabilities Discovered – Patch Now!
2023/06/10 TheHackerNews — MOVEit Transfer を開発する Progress Software は、このファイル転送ソリューションに存在し、機密情報の窃取に至る恐れのある、SQL インジェクションの脆弱性 CVE-2023-35036 に対応するパッチをリリースした。同社は 2023年6月9日にリリースしたアドバイザリで、「複数の SQL インジェクション脆弱性が、MOVEit Transfer Web アプリケーションに存在することが確認された。認証されていない攻撃者が、MOVEit Transfer データベースに不正にアクセスする可能性がある」と述べている。
Progress Software は、「攻撃者は、細工されたペイロードを MOVEit Transfer アプリケーションのエンドポイントに送信することが可能であり、その結果として、MOVEit データベースのコンテンツが変更/開示される可能性が生じる」と付け加えている。
この脆弱性は、MOVEit Transfer の全バージョンに影響を及ぼすものである。したがってユーザーは、MOVEit Transfer の問題が解決されている、Ver 2021.0.7 (13.0.7)/2021.1.5 (13.1.5)/2022.0.5 (14.0.5)/2022.1.6 (14.1.6)/2023.0.2 (15.0.2) へとアップデートする必要がある。なお、すべての MOVEit Cloud インスタンスには、すでにパッチが適用されている。
サイバー・セキュリティ企業である Huntress が、コード・レビューを行った際に、この脆弱性を発見/報告したとされている。Progress Software は、新たに発見された欠陥が、野放しで悪用されている兆候は観測していないと述べている。
今回のインシデントは、標的システム上に Web シェルをドロップするために、先日に報告された MOVEit Transfer の脆弱性 CVE-2023-34362 が悪用されたことに端を発している。
このアクティビティは、データ盗難キャンペーンを組織化してきた、Cl0p ランサムウェア・ギャングによるものである。このグループは、2020年12月以降において、さまざまな管理ファイル転送プラットフォームの、ゼロデイ脆弱性を悪用してきた実績があるとのことだ。
また、リスクコン・サルティング会社である Kroll は、このサイバー犯罪集団について、2021年7月ころから 脆弱性 CVE-2023-34362 を悪用する方法を実験していた証拠と、遅くとも 2022年4月からは、侵害した MOVEit サーバからデータを抽出する方法を考案していたことを発見している。
2021年7月の時点では、悪意の偵察と活動の多くは手作業で行われていた。しかし、2022年4月には、複数の組織に探りを入れ、情報を収集するための、自動化されたメカニズムに切り替わったと言われている。
Kroll は、「Clop 脅威アクターは、GoAnywhere への侵害を成功させた時点で、すでに MOVEit Transfer 用のエクスプロイトを完成させていた。しかし、攻撃を並行させることはなく、順次攻撃の実施を選択したようだ。これらの準備行動の発見により、大量窃取イベントに先行させたと思われる、慎重な計画が浮き彫りにされる」と述べている。
また、Cl0p 脅威アクターは、影響を受けた企業に対して、2023年6月14日までに同グループに連絡しなければ、盗んだ情報をデータ漏洩サイトで公開すると恐喝している。
前回の MOVEit 関連の記事は、2023/06/06 の「British Airways/BBC などでデータ侵害が発生:MOVEit @ Zellis の脆弱性悪用が原因」であり、サプライチェーン攻撃の怖さを物語っていました。そして、一連の攻撃で悪用された、SQL インジェクションの脆弱性 CVE-2023-35036 に対して、待ちわびていたパッチが提供されたとのことです。よろしけれは、以下の関連記事も、ご参照ください。
2023/06/04:CISA:MOVEit の脆弱性 CVE-2023-34362 を追加
2023/06/01:MOVEit Transfer に深刻なゼロデイ脆弱性
IoT OT Security News 
You must be logged in to post a comment.