MOVEitの脆弱性: 知っておくべきこと
シマンテック製品は、サイバー犯罪者が積極的に悪用している脆弱性の悪用を防止します。
MOVEit Transferは、組織間での情報送信に広く利用されているファイル転送アプリケーションですが、最近パッチが適用された脆弱性が脅迫攻撃で積極的に悪用されています。影響を受けるソフトウェアの性質上、攻撃者はパッチ未適用のシステムを悪用することで複数の組織にサプライチェーン攻撃をしかけることができます。最初に発見された脆弱性(CVE-2023-34362)は6月2日にパッチが適用されましたが、MOVEit Transfer開発者の6月9日の発表によると、ほかにも複数の脆弱性(CVEは保留中)が特定されてパッチが適用されています。
パッチがリリースされる前に、Clopランサムウェア攻撃に関連のある攻撃者は、すでにゼロデイ脆弱性であるCVE-2023-34362を悪用していました。現在、このエクスプロイトの概念実証コードが公開されており、他の攻撃者がパッチ未適用のシステムを悪用しようとする可能性が高くなりました。
MOVEit Transferとは?
MOVEit Transferは、Progress Software社が開発したマネージドファイル転送(MFT)アプリケーションです。企業と顧客との間でファイルを安全に転送できるように設計されています。
この脆弱性はどのようなものですか?
最初に発見された脆弱性(CVE-2023-34362)は、MOVEit Transfer Webアプリケーションで発生しました。この脆弱性は、2021.0.6(13.0.6)以前のすべてのバージョン、2021.1.4(13.1.4)、2022.0.4(14.0.4)、2022.1.5(14.1.5)、および2023.0.1(15.0.1)に影響します。Progress社によると、「攻撃者は、データベースの要素を改変または削除するSQL文を実行できるだけでなく、データベースの構造と内容に関する情報を推測できる可能性もあります。」
パッチが適用されるまでの間、どの程度の期間、この脆弱性が悪用されていたのでしょうか?
米国政府の勧告によると、積極的な悪用は2023年5月27日に始まったようです。
この脆弱性はこれまでどのように悪用されてきたのですか?
この脆弱性は、Clopランサムウェア攻撃で積極的に悪用されています。米国の連邦捜査局(FBI)とサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)の共同勧告によると、攻撃者はこの脆弱性を悪用して、Lemurloot(JS.Malscript!g1)というWebシェルを感染したシステムにインストールしていました。このWebシェルはその後、データベースからデータを盗み出すために使用されました。
Lemurlootは、MOVEit Transferプラットフォームを標的として特別に設計されました。ハードコードされたパスワードに基づいて着信HTTPS要求を認証し、MOVEit Transferデータベースからファイルをダウンロードするコマンドを実行して、そのAzureシステム設定を抽出し、レコードを取得します。さらに、特定のユーザーの作成、挿入、削除を行うことができます。Lemurlootは要求に応答するときに、盗んだデータをcomfile形式で返します。
この脆弱性が公表されてまもなく、Clopランサムウェア攻撃に関連のある攻撃者が攻撃への関与を主張し、複数のMOVEitユーザーとその顧客からデータを盗んだと発表しました。そして、身代金を支払わないと盗んだデータを流出させると脅迫しました。
Clopについて分かっていることは?
Clopは、Snakefly(別名TA505、FIN11)と呼ばれるサイバー犯罪グループが実施した脅迫およびランサムウェア攻撃です。このグループは、最初は独自のランサムウェアペイロード(Ransom.Clop)を使ってファイルを暗号化するという方法で被害者を脅迫していましたが、最近では暗号化を完全に排除し、盗み出したデータを流出させるという脅しに頼って被害者を脅迫することが知られています。
このグループには、ゼロデイ脆弱性悪用の実績があります。2021年には、同じくファイル転送アプリケーションであるAccellion FTAの複数の脆弱性の悪用に関連していました。今年初めには、MFTプラットフォームGoAnywhereのゼロデイ脆弱性(CVE-2023-0669)の悪用に関与しています。
シマンテック製品はこの脆弱性の悪用をどのように防いでいるのでしょうか?
シマンテック製品は以下の検出機能によって、エクスプロイトの試みとペイロードから防御します。
ファイルベース
- JS.Malscript!g1
- トロイの木馬
- Trojan.Gen.2
- Trojan.Gen.NPE
- Trojan.Malscript
- WS.Malware.1
- WS.Malware.2
機械学習ベース
- Heur.AdvML.C
ネットワークベース
- Attack: MOVEit Transfer RCE CVE-2023-34362
ポリシーベース
Data Center Security(DCS)のデフォルト強化ポリシーは、Webシェルや不正なソフトウェアの勝手な導入を防ぐことで、CVE-2023-34362に対するゼロデイ保護を提供します。
Webベース
観測されたドメイン/IPは、セキュリティカテゴリに含まれます。
保護/緩和
Symantec Protection Bulletinで保護に関する最新情報をご確認ください。
We encourage you to share your thoughts on your favorite social platform.