Threat Hunter TeamSymantec
Posted: 1 Min ReadJapanese
Original Post: English

MOVEitの脆弱性: 知っておくべきこと

シマンテック製品は、サイバー犯罪者が積極的に悪用している脆弱性の悪用を防止します。

MOVEit Transferは、組織間での情報送信に広く利用されているファイル転送アプリケーションですが、最近パッチが適用された脆弱性が脅迫攻撃で積極的に悪用されています。影響を受けるソフトウェアの性質上、攻撃者はパッチ未適用のシステムを悪用することで複数の組織にサプライチェーン攻撃をしかけることができます。最初に発見された脆弱性(CVE-2023-34362)は6月2日にパッチが適用されましたが、MOVEit Transfer開発者の6月9日の発表によると、ほかにも複数の脆弱性(CVEは保留中)が特定されてパッチが適用されています。

パッチがリリースされる前に、Clopランサムウェア攻撃に関連のある攻撃者は、すでにゼロデイ脆弱性であるCVE-2023-34362を悪用していました。現在、このエクスプロイトの概念実証コードが公開されており、他の攻撃者がパッチ未適用のシステムを悪用しようとする可能性が高くなりました。

MOVEit Transferとは?

MOVEit Transferは、Progress Software社が開発したマネージドファイル転送(MFT)アプリケーションです。企業と顧客との間でファイルを安全に転送できるように設計されています。

この脆弱性はどのようなものですか?

最初に発見された脆弱性(CVE-2023-34362)は、MOVEit Transfer Webアプリケーションで発生しました。この脆弱性は、2021.0.6(13.0.6)以前のすべてのバージョン、2021.1.4(13.1.4)、2022.0.4(14.0.4)、2022.1.5(14.1.5)、および2023.0.1(15.0.1)に影響します。Progress社によると、「攻撃者は、データベースの要素を改変または削除するSQL文を実行できるだけでなく、データベースの構造と内容に関する情報を推測できる可能性もあります。」

パッチが適用されるまでの間、どの程度の期間、この脆弱性が悪用されていたのでしょうか?

米国政府の勧告によると、積極的な悪用は2023年5月27日に始まったようです。

この脆弱性はこれまでどのように悪用されてきたのですか?

この脆弱性は、Clopランサムウェア攻撃で積極的に悪用されています。米国の連邦捜査局(FBI)とサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)の共同勧告によると、攻撃者はこの脆弱性を悪用して、Lemurloot(JS.Malscript!g1)というWebシェルを感染したシステムにインストールしていました。このWebシェルはその後、データベースからデータを盗み出すために使用されました。

Lemurlootは、MOVEit Transferプラットフォームを標的として特別に設計されました。ハードコードされたパスワードに基づいて着信HTTPS要求を認証し、MOVEit Transferデータベースからファイルをダウンロードするコマンドを実行して、そのAzureシステム設定を抽出し、レコードを取得します。さらに、特定のユーザーの作成、挿入、削除を行うことができます。Lemurlootは要求に応答するときに、盗んだデータをcomfile形式で返します。

この脆弱性が公表されてまもなく、Clopランサムウェア攻撃に関連のある攻撃者が攻撃への関与を主張し、複数のMOVEitユーザーとその顧客からデータを盗んだと発表しました。そして、身代金を支払わないと盗んだデータを流出させると脅迫しました。

Clopについて分かっていることは?

Clopは、Snakefly(別名TA505、FIN11)と呼ばれるサイバー犯罪グループが実施した脅迫およびランサムウェア攻撃です。このグループは、最初は独自のランサムウェアペイロード(Ransom.Clop)を使ってファイルを暗号化するという方法で被害者を脅迫していましたが、最近では暗号化を完全に排除し、盗み出したデータを流出させるという脅しに頼って被害者を脅迫することが知られています。

このグループには、ゼロデイ脆弱性悪用の実績があります。2021年には、同じくファイル転送アプリケーションであるAccellion FTAの複数の脆弱性の悪用に関連していました。今年初めには、MFTプラットフォームGoAnywhereのゼロデイ脆弱性(CVE-2023-0669)の悪用に関与しています。

シマンテック製品はこの脆弱性の悪用をどのように防いでいるのでしょうか?

シマンテック製品は以下の検出機能によって、エクスプロイトの試みとペイロードから防御します。

ファイルベース

  • JS.Malscript!g1
  • トロイの木馬
  • Trojan.Gen.2
  • Trojan.Gen.NPE
  • Trojan.Malscript
  • WS.Malware.1
  • WS.Malware.2

機械学習ベース

  • Heur.AdvML.C

ネットワークベース

  • Attack: MOVEit Transfer RCE CVE-2023-34362

ポリシーベース

Data Center Security(DCS)のデフォルト強化ポリシーは、Webシェルや不正なソフトウェアの勝手な導入を防ぐことで、CVE-2023-34362に対するゼロデイ保護を提供します。

Webベース

観測されたドメイン/IPは、セキュリティカテゴリに含まれます。

保護/緩和

Symantec Protection Bulletinで保護に関する最新情報をご確認ください。

Symantec Enterprise Blogs
You might also enjoy
3 Min Read

Buhti: 既存のペイロードを転用した新たなランサムウェア攻撃

攻撃者は、流出したLockBitおよびBabukランサムウェアの亜種のペイロードを再利用、そこには独自のカスタム搾取ツールが追加されている

Symantec Enterprise Blogs
You might also enjoy
11 Min Read

Lancefly APTグループ、カスタムバックドアで政府や航空部門などの組織を標的に

バックドア「Merdoor」、普及率は低く、非常に標的を絞った攻撃で使用

About the Author

Threat Hunter Team

Symantec

The Threat Hunter Team is a group of security experts within Symantec whose mission is to investigate targeted attacks, drive enhanced protection in Symantec products, and offer analysis that helps customers respond to attacks.

Want to comment on this post?

We encourage you to share your thoughts on your favorite social platform.