Nakivo Fixes Critical Flaw in Backup & Replication Tool
2025/02/28 DarkReading — データ保護/バックアップを提供する Nakivo は、2024年9月の時点でセキュリティ・ベンダーからセキュリティ問題について通知を受けた後に、自社製品に潜む深刻な脆弱性を秘密裏に修正したようだ。
影響を受ける顧客に対しては、その2ヶ月後にパッチがリリースされ、脆弱性についても事前に非公開で通知されたようだが、一時的なリスクを軽減できたのかどうかは不明である。Dark Reading は説明を要請したが、Nakivo は、すぐには応じなかった。
認証を必要としない任意のファイル読み取りの脆弱性
Nakivo は、オンプレミス/クラウド/SaaS 環境向けの、バックアップ/ランサムウェア対策/災害復旧製品のベンダーであると自称している。同社は、180か国に 30,000社を超える顧客を抱えていると述べており、そのリストには、Coca-Cola/Cisco/Honda/Siemens などの大手企業と、 300 を超える MSP (Managed Service Provider) が含まれている。
Nakivo の製品は、Veeam/ Veritas などのライバル製品と同様に、ランサムウェアの標的にされやすいカテゴリに分類されるが、その理由は、攻撃成功後の回復能力の低減にある。米国の Cybersecurity and Infrastructure Security Agency (CISA) の、Known Exploited Vulnerabilities (KEV) カタログには、2022 年以降における Veeam の4件のバグと、2023 年以降における Veritas の3件のバグが登録されている。
Nakivo Backup & Replication の攻撃に対する耐性を調査していた watchTowr の研究者が、認証を必要としない任意のファイル読み取りの脆弱性 CVE-2024-48248 を発見した。今週のブログ投稿で、watchTowr のセキュリティ研究者である Sonny は、「Nakivo は、バージョン 10.11.3.86570 で脆弱性を確認しているはずだが、以前のバージョンが影響を受けているかどうかは確認しなかった」と述べている。
watchTowr が発見した Nakivo の脆弱性は、Nakivo Backup & Replication のセンタライズされた 管理 HTTP インターフェイスである Director に関係していた。Sonny は、「この脆弱性の悪用に成功した攻撃者は、バックアップと認証情報を盗み出し、インフラ環境全体のロックを解除できるようになった。これ以上に深刻なことはない。その一方で、ランサムウェア・グループは、攻撃戦略の一環として、バックアップ/リカバリのソリューションの標的化に、ますます重点を置いている」と、Dark Reading に語っている。
発見と悪用が容易な脆弱性 CVE-2024-48248
Sonny によると、この脆弱性を発見するのに、watchTowr は1日も要しなかったという。このセキュリティ研究者は、既知の検索エンジン・ツールのみを使用して、他の脆弱なシステムを探し出せた。彼は、「ターゲットを見つけるのは、きわめて容易だった。ユーザーが露出しているサーバ/ウェブカメラ/ルーター/ICS などの、公開されている資産を見つけための検索エンジンに、特定のキーワードを入力するのと同じくらい簡単だった。この脆弱性を悪用する攻撃者は、細工された HTTP リクエストを1 つ送信するだけで、統合されたシステムのシークレットや認証情報を取り込んだ、アプリケーション・データベースおよび基盤となる OS 上の任意のファイルを読み取れる」と述べている。
WatchTowr は、この脆弱性を発見した日に、Nakivo に対して脆弱性を報告した。さらに、インターネット上で影響を受ける組織の、脆弱なシステムを発見した後には、それらの組織に対しても通知したと述べている。Sonny によると、watchTowr は Nakivo に対して、少なくとも2回はフォローアップし、回答を待っている間に CVE 識別子を申請/取得した。それにより、CVE-2024-48248 で、この脆弱性を参照できるようにした。
watchTowr が Nakivo に対して、このバグを開示してから約6週間後の 2024年10月末に、同社は脆弱性を認めた。 2024年11月に Nakivo は、Backup & Replication のバージョン v11.0.0.88174 をリリースし、この脆弱性を修正した。Nakivo は公開アドバイザリをリリースしていないため、この脆弱性の影響を受ける可能性がある、他のバージョンについては不明であると、Sonny は述べている。
Sonny は、「もちろん、彼らが NDA の下で、すべての顧客に連絡し、顧客が知らないうちに脆弱な状態にならないように、秘密裏にパッチを適用するよう促したと想定している。それにもかかわらず、”あまり良くない” 領域にいる。大量の重要なデータを保護するソフトウェアは、他のバックアップ・ソリューションと同様に、やる気のある攻撃者の監視下に置かれることになる。この脆弱性は、きわめてシンプルであり、それに遭遇したことは信じ難いことでもある」と述べている。
Nakivo Backup & Replication の脆弱性が FIXしました。このブログでは初登場の Nakivo 製品ですが、本文中にある通り、競合他社の Veeam/ Veritas 製品と同様に、ランサムウェアの標的にされやすいカテゴリに分類されます。ご利用のチームは、アップデートを、ご確認下さい。よろしければ、以下の関連記事も、カテゴリ Ransomware と併せて、ご参照ください。
2024/11/08:VBR の 脆弱性 CVE-2024-40711:Frag ランサムウェアが悪用
2024/10/10:VBR の RCE 脆弱性 CVE-2024-40711:Akira/Fog が悪用2024/09/19:Veeam の脆弱性 CVE-2023-27532:ナイジェリアの攻撃に悪用2023/04/07:Veritas Backup の脆弱性 CVE-2021-27877:CISA KEV に登録2023/04/04:Veritas Backup の脆弱性:ALPHV/BlackCat の標的に
IoT OT Security News 
You must be logged in to post a comment.