Progress Software は本日、同社の MOVEit Transfer マネージド ファイル転送 (MFT) ソリューションで新たに発見された重大な SQL インジェクションの脆弱性について、攻撃者が顧客のデータベースから情報を盗む可能性があることを顧客に警告しました。
これらのセキュリティ バグは、プログレス社が 5 月 31 日に開始した詳細なコード レビューを経て、サイバーセキュリティ企業ハントレス社の協力を得て発見されました。プログレス社は、データ盗難攻撃においてクロップ ランサムウェア ギャングによってゼロデイとして悪用された欠陥に対処しました。
これらは MOVEit Transfer のすべてのバージョンに影響し、認証されていない攻撃者がインターネットに公開されたサーバーを侵害して顧客情報を変更または抽出できるようになります。
「攻撃者は、細工されたペイロードを MOVEit Transfer アプリケーションのエンドポイントに送信する可能性があり、その結果、MOVEit データベースのコンテンツが変更され、開示される可能性があります」と Progress は本日公開されたアドバイザリーで述べています。
「すべての MOVEit Transfer 顧客は、2023 年 6 月 9 日にリリースされた新しいパッチを適用する必要があります。調査は進行中ですが、現時点では、これらの新たに発見された脆弱性が悪用された兆候は確認されていません。」と同社は付け加えました。
同社によると、すべての MOVEit Cloud クラスターには、潜在的な攻撃の試みから保護するために、これらの新しい脆弱性に対するパッチがすでに適用されています。
以下に、これらの新しい脆弱性に対して利用可能なパッチが含まれる MOVEit Transfer バージョンの現在のリストを示します。
影響を受けるバージョン | 修正バージョン (フルインストーラー) | ドキュメンテーション |
MOVEit 転送 2023.0.x (15.0.x) | MOVEit 転送 2023.0.2 | MOVEit 2023 アップグレード ドキュメント |
MOVEit 転送 2022.1.x (14.1.x) | MOVEit転送 2022.1.6 | MOVEit 2022 アップグレード ドキュメント |
MOVEit 転送 2022.0.x (14.0.x) | MOVEit 転送 2022.0.5 | |
MOVEit 転送 2021.1.x (13.1.x) | MOVEit 移転 2021.1.5 | MOVEit 2021 アップグレード ドキュメント |
MOVEit 転送 2021.0.x (13.0.x) | MOVEit 転送 2021.0.7 | |
MOVEit 転送 2020.1.x (12.1) | 特別なパッチが利用可能 | MOVEit Transfer 2020.1 (12.1) の KB 脆弱性 (2023 年 5 月) の修正を参照してください。 |
MOVEit Transfer 2020.0.x (12.0) 以降 | サポートされているバージョンにアップグレードする必要があります | 「MOVEit Transfer のアップグレードおよび移行ガイド」を参照してください。 |
MOVEit ゼロデイは 2021 年からクロップの手に
Clop ランサムウェア ギャングは、週末に Bleepingomputer に送信されたメッセージで CVE-2023-34362 MOVEit Transfer ゼロデイをターゲットにした犯行声明を出し、これが一連のデータ盗難攻撃を引き起こし、「数百の企業」に影響を与えたとされています。
彼らの声明の信頼性は依然として不透明だが、このグループの認めはマイクロソフトの調査結果と一致しており、マイクロソフトはこのキャンペーンをレース テンペストとして追跡しているハッカー グループと関連付けており、これは TA505 および FIN11 の活動と重複している。
また、クロールのセキュリティ専門家は、クロップが2021年からパッチが適用されたMOVEitゼロデイを悪用する方法と、少なくとも2022年4月から侵害されたMOVEitサーバーからデータを抽出する方法を探していたという証拠も発見した。
Clop サイバー犯罪グループには、データ盗難キャンペーンを組織し、さまざまな管理されたファイル転送プラットフォームの脆弱性を悪用してきた歴史があります。
これらのエクスプロイトには、2020 年 12 月のAccellion FTAサーバーのゼロデイ侵害、2021 年のSolarWinds Serv-Uマネージド ファイル転送攻撃、および 2023 年 1 月のGoAnywhere MFTゼロデイの広範な悪用が含まれます。
Clop の MOVEit データ盗難攻撃が明らかにされて以来、影響を受けた組織は徐々にデータ侵害とセキュリティ インシデントを認め始めています。
たとえば、英国に本拠を置く給与計算および人事ソリューションのプロバイダーであるゼリス社は、これらの攻撃によりデータ侵害に遭い、一部の顧客に影響を与える可能性があると語った。
影響を受ける顧客には、ブリティッシュ・エアウェイズ(英国のフラッグ・キャリア)、エア・リンガス(アイルランドのフラッグ・キャリア)、ミネソタ州教育省などがあります。
状況をさらにエスカレートさせるために、クロップ氏は最近、影響を受けた組織を脅迫し、データの一般公開を防ぐために身代金交渉を開始するよう促しました。
Comments