Exploit released for MOVEit RCE bug used in data theft attacks
2023/06/12 BleepingComputer — MOVEit Transfer MFT (managed file transfer) ソリューションに存在する、リモートコード実行 (RCE) の脆弱性に対応する PoC エクスプロイト・コードを、Horizon3 のセキュリティ研究者たちがリリースした。この脆弱性は、Clop ランサムウェア・ギャングが、データ窃取攻撃で悪用しているものだ。この CVE-2023-34362 は、SQL インジェクションの脆弱性である。パッチ未適用の MOVEit サーバ上で、その悪用に成功した未認証の攻撃者は、不正にアクセスした後に、リモートから任意のコードを実行できる。
Clop ランサムウェアがゼロデイとして、この脆弱性の大規模な悪用を開始した数日後の 5月31日に、Progress はバグを修正したセキュリティ・アップデートを公開した。それに加えて、悪用の試みを阻止するために、すべての顧客に直ちにパッチを適用するよう助言した。
その一方で Horizon3 は、6月9日 (金) に、この脆弱性の PoC と技術分析を発表し、脆弱なサーバ上で悪用を検出するために有用な、IOC (indicators of compromise) リストも発表した。
Horizon3 の研究者たちは、「この PoC は、SQL インジェクションを悪用して sysadmin API アクセストークンを取得し、そのアクセスを介してデシリアライズコールを行い、リモートコード実行にいたるものだ。また、この PoC では、任意のユーザートークンを偽造するために使用される、適切な RS256 証明書をホストする Identity Provider エンドポイントにアクセスする必要がある。この PoC のデフォルトは、AWS 上にホストされている当社の IDP エンドポイントを使用している」と説明している。
この、公開された RCE PoC エクスプロイトを、脅威者アクターたちは攻撃に導入し、また、独自のカスタム・バージョンを作成していく。それにより、インターネット接続未パッチのサーバをターゲットにする、迅速な動きが見られることになるだろう。
しかし、この脆弱性を悪用する Clop の攻撃について、各メディアが取り上げたことでで、インターネット上の安全ではない MOVEit Transfer サーバの数は、激減していると予想される。
2021年以降において Clop が悪用したゼロデイとは?
Clop ランサムウェアは、MOVEit Transfer ゼロデイ脆弱性 CVE-2023-34362 を悪用した、データ窃取攻撃を行ったとし、数百社に影響を与えたと、BleepingComputer に送られたメッセージで主張している。
Clop は、Microsoft に関連する攻撃も行っている。そのときの、データ窃取キャンペーンは、FIN11 や TA505 の活動が重複する、Lace Tempest というハッキング・グループによるものとされている。
Kroll のレポートによると、Clop は 2021年以降において、パッチが適用された MOVEit のゼロデイ脆弱性を悪用する機会を、積極的に求めていたことを示す証拠があるという。また、遅くとも 2022年4月以降は、侵害した MOVEit サーバからデータを抽出する方法を探し求めていたようだ。
これらの攻撃を受けて、データ漏洩を公表した組織のリストに含まれるのは、多国籍企業 EY British/アイルランドの HSE (Health Service Executive)/英国に拠点を置く給与・人事ソリューションのプロバイダー Zellis などである。Zellis の顧客である、British Airways/Aer Lingus/Minnesota Department of Education なども、上記のリストに含まれることになる。
このサイバー犯罪グループは、組織的にデータ窃取キャンペーンを行ってきた経緯を持ち、この数年間において、複数の MFT (managed file transfer) ラットフォームの脆弱性を標的としてきた。
注目すべき事例としては、2020年12月の Accellion FTA サーバのゼロデイ侵入、および、2021年の SolarWinds Serv-U Managed File Transfer 攻撃、2023年1月のGoAnywhere MFT のゼロデイ攻撃などがある。
6月9日 (金) にも Progress は、MOVEit Transfer で新たに見つかった、深刻な SQL インジェクションの脆弱性を修正し、顧客に警告した。この脆弱性の悪用されている、認証されていない攻撃者は、顧客データベースから情報を盗むことが可能になるという。
MOVEit の脆弱性 CVE-2023-34362 ですが、2023/06/10 の「MOVEit Transfer の SQLi 脆弱性 CVE-2023-35036 が FIX:ただちにパッチを!」でお伝えしたように、パッチが提供されています。しかし、それ以前から悪用による被害が報告され、さらに、PoC エクスプロイトも提供されるとのことです。ご注意ください。
2023/06/06:British Airways/BBC などでデータ侵害が発生
2023/06/04:CISA:MOVEit の脆弱性 CVE-2023-34362 を追加
2023/06/01:MOVEit Transfer に深刻なゼロデイ脆弱性
IoT OT Security News 
You must be logged in to post a comment.