サイバーセキュリティ・インフラセキュリティ庁(CISA)は、MOVEitソフトウェアのゼロデイ脆弱性の悪用に関する警告を発しました。このゼロデイSQLインジェクション脆弱性を悪用した攻撃が実際に確認されており、主に北米を標的としており、ランサムウェアの脅威アクターLace Tempestによる攻撃も含まれています。
MOVEitは、アプリケーション開発およびデジタルエクスペリエンステクノロジープロバイダーであるProgress(旧Ipswitch)が提供するマネージドファイル転送ソフトウェアです。MOVEitのWebサイトによると、このアプリケーションは世界中の数千の組織で利用されています。
このMOVEit Transferのゼロデイ脆弱性は、パッチが公開される前から攻撃者に知られていたSQLインジェクション脆弱性(CVE-2023-34362)です。開発元Progressによると、この脆弱性はMOVEit Transferの全バージョンに影響します。MOVEit Automation、MOVEit Client、MOVEit Add-in for Microsoft Outlook、MOVEit Mobile、WS_FTP Client、WS_FTP Server、MOVEit EZ、MOVEit Gateway、MOVEit Analytics、MOVEit Freelyには影響しません。
このゼロデイ脆弱性により、認証されていない攻撃者が MOVEit Transfer のデータベースにアクセスし、データベース要素を変更または削除する SQL ステートメントを実行できる可能性があります。
参照:SQLインジェクション攻撃:ITプロフェッショナルが知っておくべきこと(TechRepublic Premium)
特に北米における野生での搾取
Rapid7のブログ投稿によると、このサイバーセキュリティ企業は、複数の顧客環境でCVE-2023-34362のゼロデイ脆弱性が悪用されていることを確認しています。Rapid7によると、幅広い組織が影響を受けています。
サイバー犯罪者による脆弱性の積極的な悪用は、プログレス社からのセキュリティ勧告が発表される少なくとも 4 日前から始まっていました。
参照:ゼロデイ攻撃:IT プロフェッショナルが知っておくべきこと(TechRepublic)
Shodan 検索エンジンによると、2,500 を超える MOVEit Transfer インスタンスがインターネットに公開されており、そのうち 1,800 を超えるインスタンスが米国にあります (図 A )。
図A
Rapid7は、複数の顧客環境で同じWebシェル名を確認しました。侵害されたシステムでは、human2.aspxというWebシェルがMOVEitインストールフォルダのwwwrootフォルダに配置されています。このファイル名は、MOVEit TransferのWebインターフェースで使用されるネイティブファイルであるhuman.aspxという正規のファイルであるため、気付かれないように選択されたものと考えられます。
Webシェルへのアクセスはパスワードで保護されています。適切なパスワードを入力せずにWebシェルに接続しようとすると、悪意のあるコードによって404 Not Foundエラーが発生します。
Rapid7によると、複数のサーバーで同じ名前が使用されていることは、自動攻撃の兆候である可能性がある。この攻撃は、厳密に標的を絞ったものではなく、むしろ機会主義的なもののようだ。ファイル転送ソリューションは、ランサムウェアの脅威アクターを含む攻撃者の標的として人気があるため、最初の侵害がランサムウェア攻撃につながる可能性がある。
マイクロソフトはTwitterでこの脆弱性の悪用を確認しました。CVE-2023-34362 MOVEit Transferのゼロデイ脆弱性を悪用した攻撃は、ランサムウェア攻撃やClop恐喝サイトの運営で知られる脅威アクターであるLace Tempestによるものだとしています。この脅威アクターは、今年初めに別のファイル転送管理ソフトウェアであるGoAnywhereの脆弱性を悪用していました。
脅威の悪用を検出する方法
システム管理者は、MOVEit Transfer ソフトウェアの wwwroot フォルダーに human2.aspx ファイルが存在するかどうかを確認する必要があります。
ログファイルも少なくとも1か月前のものから確認する必要があります。不明なIPアドレスからの予期しないファイルのダウンロード/アップロードは注意深く確認する必要があります。
Web サーバーのログ ファイルをチェックして、human2.aspx ファイルへの GET 要求を含むイベントや、予期しないファイルのダウンロードを示している可能性のある大量のログ エントリやデータ サイズが大きいエントリがないか確認する必要があります。
該当する場合は、Azure ログ ファイルを確認し、Azure Blob Storage キーへの不正アクセスがないか確認する必要があります。
Rapid7によると、データの窃盗も特定可能です。MOVEit Transferソフトウェアの管理者がログを有効にしている場合、Windowsイベントファイル(C:\Windows\System32\winevt\Logs\MOVEit.evtx)には、ファイル名、ファイルパス、ファイルサイズ、IPアドレス、ダウンロードを実行したユーザー名など、多くの情報が記録されます。ログはデフォルトでは有効になっていませんが、管理者がインストール後に有効にするのが一般的です。そのイベントログファイルで、データの窃盗を確認できます。
監査ログはMOVEitデータベースに保存され、直接またはソフトウェアに組み込まれたレポート機能を通じて照会できます。管理者はこれらのログを使用して、ソフトウェア経由で実行されたファイルダウンロードアクションのレポートを生成し、潜在的なデータ漏洩を特定できます。
このリスクを軽減する方法
Progress プロバイダーは、リリースしたパッチをすぐに適用することを強くお勧めします。
直ちに適用できない場合は、攻撃者による接続を防ぐため、MOVEit Transfer 環境へのすべての HTTP および HTTPS トラフィックを無効化してください。正当なユーザーは接続できなくなりますが、SFTP および FTP プロトコルは通常どおり機能し、管理者は引き続きリモートデスクトッププロトコル経由で接続できます。
human2.aspxファイルまたは疑わしい.cmdlineスクリプトが見つかった場合は、削除してください。MOVEitフォルダ内に新しく作成されたファイルや不明なファイルがあれば、詳しく分析する必要があります。さらに、Windowsの一時フォルダ内にある.cmdlineファイルも調査する必要があります。
許可されていないユーザー アカウントはすべて削除する必要があります。
パッチの適用またはHTTPおよびHTTPSのブロックが完了したら、管理者は前述の通り検出を実行し、侵害の兆候を注意深く確認する必要があります。証拠が見つかった場合は、サービスアカウントの認証情報をリセットする必要があります。
Progress によって提供されるあらゆる侵害指標に対して継続的な監視を適用する必要があります。
追加のセキュリティのベストプラクティス
CVE-2023-34362の脆弱性に限ったことではありませんが、Progressは管理者がMOVEit Transferで多要素認証を有効にすることを推奨しています。さらに、リモートアクセスポリシーを更新し、既知の信頼できるIPアドレスのみを許可するようにする必要があります。最後に、ユーザーアカウントを慎重にチェックし、承認されたアカウントのみがサービスにアクセスできるようにする必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
