CISA は政府機関に対し、データ盗難に使用された MOVEit のバグにパッチを適用するよう命令

CISAは、Progress MOVEit Transferマネージドファイル転送（MFT）ソリューションで悪用されているセキュリティバグを既知の悪用された脆弱性のリストに追加し、米国連邦政府機関に対し6月23日までにシステムにパッチを適用するよう命じた。

この重大な欠陥 ( CVE-2023-34362として追跡されています) は SQL インジェクションの脆弱性で、認証されていないリモート攻撃者が MOVEit Transfer のデータベースにアクセスして任意のコードを実行できるようになります。

2022 年 11 月の拘束力のある運用指令 (BOD 22-01)によると、連邦文民行政府機関 (FCEB) は、CISA の既知の悪用された脆弱性カタログに追加されたこのセキュリティ脆弱性にパッチを適用する必要があります。

BOD 22-01 は主に連邦機関に焦点を当てていますが、民間企業も、この積極的に悪用されている MOVEit Transfer の欠陥からシステムを保護することを優先することが強く推奨されます。

Progress はすべてのお客様に、MOVEit Transfer インスタンスにパッチを適用して、悪用の試みや潜在的な侵害をブロックするようアドバイスしています。

セキュリティ アップデートをすぐに適用できない場合は、MOVEit Transfer 環境へのすべての HTTP および HTTPS トラフィックを無効にして、攻撃対象領域をリモートにすることもできます。

影響を受ける MOVEit Transfer のバージョンと修正されたバージョンのリストは、以下に埋め込まれた表で確認できます。

現在、インターネット上には2,500 を超える MOVEit Transfer サーバーがあり、そのほとんどは米国にあります。

Mandiant CTO Charles Carmakal 氏によると、Progress が CVE-2023-34362 を公開し、脆弱なシステムに対するセキュリティ パッチのテストを開始する 4 日前、少なくとも 5 月 27 日以降、脅威アクターは CVE-2023-34362 をゼロデイ脆弱性として悪用し続けています。

「過去数日間に大量の搾取と広範なデータ盗難が発生しました」とカーマカル氏は語った。

「マンディアントは脅威アクターの動機をまだ把握していませんが、組織は潜在的な恐喝と盗まれたデータの公開に備える必要があります。」

Web シェルをドロップしてデータを盗むために悪用される

複数の組織がすでに侵害され、新たに発見された Web シェル (Mandiant によってLemurLoot と呼ばれる) を利用してデータが盗まれていると報告されています。

LemurLoot は、攻撃者が被害者の Azure Blob Storage コンテナーからデータを抜き出すために使用できる資格情報を含む、Azure Blob Storage アカウント情報を収集するのに役立ちます。

Mandiant はまた、MOVEit Transfer サーバーをターゲットとした攻撃と、他のファイル転送システムでのゼロデイを悪用した後、Clop ランサムウェア ギャングのリーク サイトを通じたデータ窃取の試みで知られる、金銭目的の脅威グループ FIN11 との間に関連性がある可能性があることも発見しました。

現時点では、まだ被害者からの恐喝を開始していないため、攻撃者の身元は不明のままです。

それにもかかわらず、この悪用の手口は、2020 年 12 月のAccellion FTA サーバーのゼロデイ悪用や、2023 年 1 月のGoAnywhere MFT のゼロデイ大規模悪用など、以前の事例と著しく類似しています。

GoAnywhere MFT と Accellion FTA はどちらもマネージド ファイル転送プラットフォームであり、悪名高い Clop ランサムウェア ギャングの標的となり、データを盗み、被害者を脅迫します。