CISA tags Microsoft SharePoint RCE bug as actively exploited
2024/03/27 BleepingComputer — CISA が発した警告は、近ごろの Microsoft SharePoint のコード・インジェクションの脆弱性が攻撃者たちに悪用され、さらに特権昇格の脆弱性と連鎖することで、未認証のリモート・コード実行攻撃の可能性が生じていることだ。Microsoft SharePoint に存在する、1つ目の脆弱性 CVE-2023-24955 は、サイトのオーナー権限を持つ認証済みの攻撃者に対して、脆弱な SharePoint サーバ上でのリモート・コード実行を許すものだ。2つ目の脆弱性 CVE-2023-29357 は、なりすましの JWT 認証トークンを用いて認証を回避するリモートの攻撃者に対して、脆弱な SharePoint サーバ上での管理者権限の取得を許すものである。
これらの脆弱性を連鎖させる未認証のリモートの攻撃者が、パッチを適用していないサーバ上で、悪意のコード実行が可能になることが判明した。この悪用の連鎖は、2023年3月にバンクーバーで開催された Pwn2Own コンテストで、STAR Labs の研究者である Nguyen Tien Giang (Janggggg) により実証されたものだ。
脆弱性 CVE-2023-29357 の PoC (Proof-of-concept) エクスプロイト・コードが公開されたのは、このセキュリティ研究者が技術分析を公開し、悪用のプロセスを明らかにした翌日のことである。2023年9月25日の時点で、GitHub で公開されている。
この、CVE-2023-29357 の PoC エクスプロイトでは、標的システム上でリモート・コード実行を行うことは不可能だった。しかし攻撃者は、このエクスプロイトを修正して、CVE-2023-24955 のリモート・コード実行機能を活用する連鎖を完成させた。
その後に、この連鎖を標的とした複数の PoC エクスプロイト (Star Labs がリリースしたものを含む) がオンライン上に出回り、スキルの低い攻撃者であっても、このチェーンによる攻撃を容易に行えるようになった。
その1ヵ月後に CISA は、脆弱性 CVE-2023-29357 を KEV (Known Exploited Vulnerabilities Catalog) カタログに追加し、2024年1月31日までにパッチを当てるよう、米連邦政府機関に命じた。
さらに 3月26日に CISA は 、コード・インジェクションの脆弱性 CVE-2023-24955 も、KEV カタログに追加した。連邦政府機関は、BOD 22-01 により義務付けられているように、4月16日までに Sharepoint サーバを保護しなければならない。
Sharepoint の2つの脆弱性を悪用した攻撃について、CISA は詳細を明らかにしていないが、ランサムウェア攻撃で悪用された形跡は発見されていないと述べている。
同機関は、「この種の脆弱性は、攻撃者が頻繁に悪用する攻撃ベクターであり、連邦政府企業にとって重大なリスクになる」と警告している。
CISA の KEV カタログは、連邦政府機関を対象にして、可能な限り早急に対処すべき脆弱性について、警告を発することに重点を置いている。しかし民間組織にも推奨されるのは、攻撃から身を守るために、このエクスプロイト・チェーンに優先的にパッチを当てることである。
文中にで指摘されている、1つ目の脆弱性 CVE-2023-24955 と、2つ目の脆弱性 CVE-2023-29357 のレン差に関しては、2023/12/16 の「SharePoint の脆弱性 CVE-2023-29357/CVE-2023-24955:連鎖の PoC が発表された」で、すでに紹介されていました。そして、CVE-2023-24955 が CISA KEV に登録され、同組織としても、この脆弱性の連鎖に注目していることが判明したわけです。ご利用のチームは、ご注意ください。よろしければ、Sharepoint で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.