Horizon3 のセキュリティ研究者は、Clop ランサムウェア集団によってデータ盗難攻撃に悪用された MOVEit Transfer マネージド ファイル転送 (MFT) ソリューションのリモート コード実行 (RCE) バグに対する概念実証 (PoC) エクスプロイト コードをリリースしました。
この重大な欠陥 ( CVE-2023-34362として追跡されています) は SQL インジェクションの脆弱性であり、認証されていない攻撃者がパッチが適用されていない MOVEit サーバーにアクセスし、任意のコードをリモートで実行できるようになります。
Clop ランサムウェア集団がゼロデイ攻撃として大規模に悪用を開始してから数日後の 5 月 31 日、Progress はバグにパッチを適用するセキュリティ アップデートをリリースし、悪用の試みをブロックするためにすべての顧客に直ちに適用するようアドバイスしました。
Horizon3 は金曜日、この脆弱性の概念実証 (PoC) エクスプロイトと技術分析を公開し、ネットワーク防御者が脆弱なサーバー上のエクスプロイトを検出するために使用できる侵害指標 (IOC) のリストを公開しました。
「この POC は SQL インジェクションを悪用して sysadmin API アクセス トークンを取得し、そのアクセスを使用して逆シリアル化呼び出しを悪用してリモート コードを実行します」と Horizon3 の研究者は説明しています。
「この POC は、任意のユーザー トークンの偽造に使用される適切な RS256 証明書をホストする ID プロバイダー エンドポイントに接続する必要があります。デフォルトでは、この POC は AWS でホストされる IDP エンドポイントを使用します。」
この RCE PoC エクスプロイトのリリースにより、より多くの脅威アクターが迅速に攻撃に導入したり、インターネット アクセスにさらされたままになっているパッチが適用されていないサーバーをターゲットにする独自のカスタム バージョンを作成したりする可能性があります。
しかし、この脆弱性を悪用した攻撃が広くメディアで報道されたことを考えると、Clop がこのバグを悪用し始めて以来、インターネット上の安全でない MOVEit Transfer サーバーの数は急激に減少したと予想されます。
2021 年からゼロデイがクロップの手に
Clop ランサムウェア ギャングは、Bleepingomputer に送信されたメッセージで CVE-2023-34362 MOVEit Transfer ゼロデイを悪用したデータ盗難攻撃の犯行声明を出しました。この攻撃は「数百の企業」に影響を与えたとされています。
Crop はMicrosoft による攻撃にも関連しており、Microsoft はこのデータ盗難キャンペーンは、FIN11 および TA505 の活動と重なるレース テンペスト ハッキング グループによるものであると考えています。
Kroll のレポートによると、Clop が2021 年以来、パッチが適用された MOVEit のゼロデイ脆弱性を悪用する機会を積極的に模索していることを示す証拠が示されています。彼らはまた、少なくとも 2022 年 4 月から、侵害された MOVEit サーバーからデータを抽出する方法を探してきました。
これらの攻撃を受けてデータ侵害を明らかにした組織のリストには、EY British 多国籍企業、アイルランド保健サービスエグゼクティブ (HSE) の公的医療システム、英国に本拠を置く給与および人事ソリューションのプロバイダーであるZellisおよびその顧客の一部が含まれます (つまり、英国のフラッグ キャリアであるブリティッシュ エアウェイズ、アイルランドのフラッグ キャリアであるエア リンガス、ミネソタ州教育省です。
データ盗難キャンペーンを組織化した歴史で知られるこのサイバー犯罪グループは、過去数年間、複数の管理されたファイル転送プラットフォームの脆弱性を標的にしてきました。
注目すべき事例としては、2020 年 12 月のAccellion FTA サーバーのゼロデイ侵害、2021 年のSolarWinds Serv-Uマネージド ファイル転送攻撃、および 2023 年 1 月の大規模な攻撃におけるGoAnywhere MFTゼロデイの悪用などが挙げられます。
金曜日、Progress はパッチを適用し、認証されていない攻撃者が顧客のデータベースから情報を盗むことを可能にする MOVEit Transfer で新たに発見された重大な SQL インジェクションの脆弱性について顧客に警告しました。
Comments