MOVEit Transfer customers warned to patch new critical flaw
2023/07/07 BleepingComputer — Clop ランサムウェアの最近における大規模な侵入で、主として悪用されているソフトウェアである MOVEit Transfer の、深刻な SQL インジェクション脆弱性を含む3つの脆弱性が修正された。この SQL インジェクションの脆弱性は、特別なクエリを細工した攻撃者による、データベースへの不正アクセスやコード実行および、データベースの改ざんを可能にするものだ。そして、これらの攻撃の前提条件として挙げられるのは、対象となるアプリケーションの入出力データにおける、適切なサニタイズが欠落となる。
MOVEit Transfer の開発元である Progress は、深刻な脆弱性 CVE-2023-36934 を含む、ユーザー認証なしで悪用可能な複数の SQL インジェクション問題を、同製品で発見した。
同社はアドバイザリで、「MOVEit Transfer の Web アプリにおける SQL インジェクションの脆弱性が確認されており、認証されていない攻撃者が MOVEit Transfer のデータベースを不正にアクセスする可能性がある。攻撃者は、細工したペイロードを MOVEit Transfer アプリケーションのエンドポイントに送信する可能性があり、その結果として、MOVEit データベースのコンテンツが変更され、開示される可能性がある」と述べている。
修正された2つ目の脆弱性である、SQL インジェクションの脆弱性 CVE-2023-36932 は、攻撃者が認証後に悪用する可能性があるため、深刻度 High と評価されている。
これらの2つの SQL インジェクション脆弱性は、12.1.10 以降/13.0.8以降/13.1.6以降/14.0.6以降/14.1.7以降/15.0.3 以降などを含む、MOVEit Transfer の複数のバージョンに影響を及ぼす。
また、修正された3つ目の脆弱性 CVE-2023-36933 は、攻撃者によるプログラムの想定外の終了を可能にするものだ。この脆弱性も深刻度 High と評価されており、MOVEit Transfer 13.0.8以降/13.1.6以降/14.0.6以降/14.1.7以降/15.0.3 以降に影響する。
MOVEit Transfer のユーザーに推奨されるのは、以下の表で指摘されているバージョンへのアップグレードである。
| Affected Version | Fixed Version | Documentation | Release Notes |
|---|---|---|---|
| MOVEit Transfer 2023.0.x (15.0.x) | MOVEit Transfer 2023.0.4 (15.0.4) | MOVEit 2023 Upgrade | MOVEit Transfer 2023.0.4 |
| MOVEit Transfer 2022.1.x (14.1.x) | MOVEit Transfer 2022.1.8 (14.1.8) | MOVEit 2022 Upgrade | MOVEit Transfer 2022.1.8 |
| MOVEit Transfer 2022.0.x (14.0.x) | MOVEit Transfer 2022.0.7 (14.0.7) | MOVEit 2022 Upgrade | MOVEit Transfer 2022.0.7 |
| MOVEit Transfer 2021.1.x (13.1.x) | MOVEit Transfer 2021.1.7 (13.1.7) | MOVEit 2021 Upgrade | MOVEit Transfer 2021.1.7 |
| MOVEit Transfer 2021.0.x (13.0.x) | MOVEit Transfer 2021.0.9 (13.0.9) | MOVEit 2021 Upgrade | MOVEit Transfer 2021.0.9 |
| MOVEit Transfer 2020.1.6+ (12.1.6) | Special Service Pack Available | MOVEit Transfer 2020.1 SP | MOVEit Transfer 2020.1.7 |
| MOVEit Transfer 2020.0.x+ (12.0.x) | Upgrade to supported Version | Upgrade/Migration Guide | N/A |
Progress が Service Pack の提供を開始
MOVEit Transfer 製品のゼロデイ脆弱性 CVE-2023-34362 は、約1ヶ月前から多くのハッカーたちに、特に Clop ランサムウェア・グループに悪用され、世界中の大企業からのデータ窃取に悪用されてきた。
この脆弱性の発見から数日後に、Progress は一連のソフトウェアを修正したが、その2年前から Clop は、それらの脆弱性を悪用方法を探し始めていたことが判明している。
また、その後に同社がセキュリティ監査を行った結果として、その他の深刻な脆弱性も発見され、パッチが適用された。
このセキュリティ・インシデントが引き起こした大規模な影響に対して、いまも取り組んでいる同社は、毎月リリースされるセキュリティ・アップデート “Service Pack” の導入を決定した。
この新しいアプローチの一環として、ソフトウェアのアップグレードプロセスが合理化され、MOVEit Transfer の管理者は、以前よりも迅速かつ簡単に修正プログラムを適用できるようになった。
MOVEit の脆弱性ですが、悪用のケースが次々と公表され、すでに 160社を超える勢いだと言われています。なぜ、Clop に対して、侵害を許してしまったのかは、これから明らかにされるはずです。この件に関しては、まだまだ続報が出てくるでしょう。よろしければ、MOVEit で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.