Live Exploitation Underscores Urgency to Patch Critical WS-FTP Server Flaw
2023/10/02 SecurityWeek — Progress Software の WS_FTP サーバ製品に存在する、認証前の深刻な脆弱性に対するパッチがリリースされたが、その僅か数日後に、複数のターゲット環境に対する積極的な悪用を検出されたと、セキュリティ専門家たちが警告している。サイバーセキュリティ・ベンダー Rapid7 は、さまざまな顧客の環境で、WS_FTP の脆弱性が悪用されている事例を検出し、この週末に警鐘を鳴らし始めた。
Rapid7 の Head of Vulnerability Research である Caitlin Condon によると、脆弱性 CVE-2023-40044 の悪用は容易であるため、WS_FTP サーバを大規模に攻撃しようとする脅威アクターたちにとって、すでに魅力的なターゲットになっているという。
Caitlin Condon は、「このプロセスの実行チェーンは、すべての観測されたインスタンスにおいて同様に見えるため、大量の脆弱な WS_FTP サーバが悪用される可能性がある。さらに、当社の MDR チームは、すべてのインシデントにおいて、同一の Burp Suite ドメインが使用されていることも確認している」と述べている。
この脆弱性 CVE-2023-40044 の CVSS 値は 10.0 であり、また、インターネット経由での攻撃が可能であり、WS_FTP Server 8.7.4/8.8.2 未満の、すべてのバージョンに影響を及ぼす。
この問題を発見した Assetnote は、「この欠陥は WS_FTP のアドホック転送コンポーネント全体に影響する。認証を必要とせずに、デシリアライゼーション・シンクに到達できたことは、少し衝撃的なことだった」と、メモの中で述べている。
同社は、「Progress WS_FTP で発見された問題は、MyFileUpload.UploadModule と呼ばれる HTTP モジュール内に存在する。この HTTP モジュールは、AHT アプリケーション内で行われる、すべてのファイル・アップロードを担当している。しかし、HTTP モジュールはファイル・アップロード機能を担当すべきではないというのが、エンジニアの信条である。とりわけ、HTTP モジュールが、すべてのリクエスト・サイクルで実行されることを考えると、危険性が高まると考えている。結論として、すべてのファイル・アップロード機能が、HTTP モジュール内に実装されているのは荒唐無稽である」と付け加えている。
Assetnote によると、公開された Web サーバ上で WS_FTP を実行している、インターネット上のホストの数は 3,000台ほどであり、公開されている資産の大半が、大企業/政府機関/教育機関に属しているという指摘する。
Progress Software のセキュリティ対応チームは、同社のマネージド・ファイル転送ソフトウェア MOVEit のゼロデイ欠陥を悪用する、ランサムウェア攻撃の波に対応するために奔走している。
今年の初めに Progress は、少なくとも3件の深刻な脆弱性をカバーする、パッチを急遽リリースした。それに加えて、製品とセキュリティの修正のための、シンプルで予測可能かつ透明性のあるプロセスによる、定期的なサービス・パックのリリース計画も発表した。
一般的に、ソフトウェア・ベンダーたちは、アプリケーションの更新/修正および機能の拡張をまとめたものを、サービス・パックとして提供している。 そのようなサービス・パックは、単一のインストールが可能な。パッケージの形で提供される。
Progress の WS_FTP Server に関しては、2023/09/28 の「Progress Software の WS_FTP サーバ:深刻な脆弱性 CVE-2023-40044 などを FIX」で、その詳細が解説されています。それにしても、脅威アクターたちの動きが早いですね。この週末を挟んで、局面が大きく動いてきたように思えます。よろしければ、MOVEit で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.