PoC for Arcserve UDP authentication bypass flaw published (CVE-2023-26258)
2023/06/29 HelpNetSecurity — Arcserve Unified Data Protection (UDP) エンタープライズ・データ保護ソリューションの認証バイパスの脆弱性 (CVE-2023-26258) を悪用して、管理者アカウントを侵害し、脆弱なインスタンスを乗っ取ることが可能である。この問題を発見した、MDSec の研究者である Juan Manuel Fernández と Sean Doherty は PoC エクスプロイトも公開している。
この脆弱性 CVE-2023-26258 は、ランサムウェア攻撃のシミュレーション中に発見されたという。MDSec は、「MDSec の ActiveBreach レッドチームは、組織のバックアップ・インフラを侵害しようとしていた。ArcServe UDP のコードを分析し始めてから数分も経たないうちに、管理インターフェイスへのアクセスを可能にする、重要な認証バイパスが発見された」と述べている。
研究者たちは、悪用のプロセスを詳細に説明し、ローカル・ネットワーク上のペンテスターが使用できるツールと PoC エクスプロイトを公開した:
- デフォルト設定の Arcserve UDP インスタンスおよび、デフォルトのデータベース認証情報を見つける。
- 脆弱性を悪用して有効な管理者セッションを取得する。
- 暗号化された管理者認証情報を取得し、復号化する。
彼らは、「脆弱性にパッチが適用されていても、さまざまな方法で管理者の認証情報を取得することが可能だ。もちろん、それが意味するのは、特定の権限やデフォルトの認証情報である」と付け加えている。
パッチが提要された
この欠陥に対する修正パッチをプッシュした MDSec は、「現時点では、この脆弱性を悪用しようとするアクティブな試みを、Arcserve は認識していない」と、火曜日に述べている。
脆弱性 CVE-2023-26258 は、Arcserver UDP バージョン 7.0〜9.0 に影響を及ぼす。また、この脆弱性は、Arcserve UDP Linux Agent には影響しない。
この脆弱性に対しては、対応済みのバージョンへのアップグレード、もしくは、上記のパッチ適用により修正が可能だ。直ちにアップグレードができないない場合には、後者のパッチが有効である。
彼らは、「このアップグレードは、UDP バージョン 9.0 に内蔵されている自動アップデートの使用、もしくは、新しいデプロイメントや旧バージョン用の 9.1 RTM ビルドの使用で完了する。手動でパッチを使用する場合は、各 Windows ノードにおいて、個別に実行する必要がある」と付け加えている。
MDSec が開示した資料によると、研究者たちの発見を Arcserve が確認し、パッチをリリースするまでに4ヶ月以上を要したことが分かる。その後に Arcserve は、この見落としを修正したことになる。
Arcserve Unified Data Protection (UDP) というソリューションですが、日本では富士通などが取り扱っているようであり、バックアップなどの機能を提供しているようです。この分野では、このところ Veeam や Veritas などの脆弱性が、脅威アクターたちに狙われているようです。よろしければ、Backup で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.