CVE-2024-5806: MOVEit Transfer Vulnerability Under Active Exploit, PoC Published
2024/06/25 SecurityOnline — MOVEit Transfer の深刻な脆弱性 CVE-2024-5806 (CVSS:9.1) が公表されたが、すでに悪用が活発化しているようだ。ファイル転送ソフト MOVEit の開発元である Progress は、6月25日の時点で、この脆弱性に関する情報を公開したが、その後から広範囲におよぶ悪用の試行が検出されていると、セキュリティ研究者たちが指摘している。
深刻度の高い脅威
この脆弱性の悪用に成功した攻撃者は、MOVEit Transfer SFTP サービスにおける認証バイパスを達成し、不正アクセスや機密データの流出の可能性を手にする。非営利のセキュリティ団体 Shadowserver Foundation が報告しているのは、脆弱性の詳細が公開されてから僅か数時間後に、同社のハニーポットに対するエクスプロイト試行が急増したことであり、事態の緊急性が強調されている。
積極的に悪用されている
2024年6月25日に WatchTowr から、脆弱性 CVE-2024-5806 の技術詳細と PoC エクスプロイト・コードが公開され、その直後から直ちに悪用の試みが始まっている。Shadowserver が報告しているのは、詳細情報が公開された直後から観測されている、同社のハニーポットに対する “POST /guestaccess.aspx” 悪用の試みである。この短時間で発生した悪用が示唆するのは、この脆弱性の重大な性質と、必要とされる対応の緊急性である。
Shadowserver の分析によると、オンライン上で公開されている MOVEit Transfer のインスタンスは約 1,800個あるが、これらのインスタンス全てが、必ずしも脆弱であるとは限らない。とは言え、広範囲に露出しているため、攻撃が成功するリスクが高まっている。
緩和策
すでに Progress は、この脆弱性に対処するために、パッチを適用した MOVEit Transfer バージョンをリリースしている:
- MOVEit Transfer 2023.0.x: バージョン 2023.0.11 で修正済み
- MOVEit Transfer 2023.1.x: バージョン 2023.1.6 で修正済み
- MOVEit Transfer 2024.0.x: バージョン 2024.0.2 で修正済み
なお、MOVEit Cloud のユーザーは、すでに過去のパッチにより保護されていると報告されている。
ユーザー組織に強く推奨されるのは、迅速なアップデートである。PoC エクスプロイト・コードが公開され、現在進行中の攻撃が確認されていることから、遅延の余地はほとんどない。
MOVEit Gateway の SFTP 認証バイパスの脆弱性 CVE-2024-5805 に続いて、今日の2件目の脆弱性です。こちらの Transfer の脆弱性 CVE-2024-5806 は、PoC が公開され、悪用も観測されているということで、対応が急がれます。ご利用のチームは、十分に ご注意ください。よろしければ、MOVEit で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.