データ保護ベンダーの Arcserve は、攻撃者が認証をバイパスして管理者権限を取得できる可能性がある、統合データ保護 (UDP) バックアップ ソフトウェアの重大度の高いセキュリティ上の欠陥に対処しました。
同社によると、Arcserve UDP は、顧客がランサムウェア攻撃を阻止し、侵害されたデータを復元し、効果的な災害復旧を可能にしてビジネス継続性を確保できるように設計されたデータおよびランサムウェア保護ソリューションです。
Arcserve は、MDSec の ActiveBreach レッド チームのセキュリティ研究者 Juan Manuel Fernandez 氏と Sean Doherty 氏によってバグが発見され報告されてから 4 か月後の 6 月 27 日に、この脆弱性 (CVE-2023-26258 として追跡) を修正するためのUDP 9.1 をリリースしました。
「最近の敵対者のシミュレーション中、MDSec ActiveBreach レッド チームは、組織のバックアップ インフラストラクチャを侵害することを主要な目標として、ランサムウェア シナリオを実行していました」と研究者らは述べています。
「コードを分析してから数分以内に、管理インターフェイスへのアクセスを許可する重要な認証バイパスが発見されました。」
Arcserve UDP 7.0 から 9.0 までを実行しているシステムでは、この脆弱性により、ローカル ネットワーク上の攻撃者が、有効な管理者セッションを取得するための AuthUUID を含む SOAP リクエストをキャプチャすることで、簡単に復号できる管理者認証情報を取得した後、UDP 管理インターフェイスにアクセスできるようになります。
管理者の資格情報を使用すると、脅威アクターがランサムウェア攻撃でバックアップを消去することでターゲットのデータを破壊する可能性があります。
MDSec ActiveBreach の研究者は、対象のサーバーに CVE-2023-26258 に対するパッチがすでに適用されており、デフォルトの構成を使用している場合、デフォルトの MSSQL データベース認証情報のペアを使用して管理者認証情報を取得することもできると付け加えました。
MDSec は、ローカル ネットワーク上のデフォルト設定で Arcserve UDP インスタンスをスキャンしたり、管理インターフェイスの認証バイパスを利用して認証情報を取得および復号したりするために使用できる、概念実証のエクスプロイトとツールも共有しました。
「攻撃者がローカル ネットワーク上に位置している場合、ArcServeRadar.py を使用したデフォルト設定を使用してインスタンスを見つけるためにスキャンが実行される可能性があります」と MDSec は説明しています。
「最後に、ArcServe バージョンにパッチが適用されていない場合 (CVE-2023-26258)、管理 Web インターフェイスの認証バイパスを悪用して、管理者認証情報 (ArcServe-exploit.py) を取得することが可能です。ツールによって取得されるすべてのパスワードArcServeDecrypter.exe を使用して復号化できます。」
MDsec は開示プロセス中に Arcserve チームと十数回のメッセージを交換し、どのようにクレジットされることを希望するか尋ねられましたが、レポートの最後に共有された開示タイムラインの最後の行には、「ArcServe はクレジットなしでパッチをリリースします。 」
Arcserve は、同社のデータ保護製品が 150 か国の約 235,000 人の顧客のデータの保護に役立っていると述べています。
Comments