ハッカーは、ファイル転送ソフトウェア MOVEit Transfer のゼロデイ脆弱性を積極的に悪用して、組織からデータを盗んでいます。
MOVEit Transfer は、米国に本拠を置く Progress Software Corporation の子会社である Ipswitch によって開発されたマネージド ファイル転送 (MFT) ソリューションであり、企業が SFTP、SCP、および HTTP ベースのアップロードを使用してビジネス パートナーと顧客の間でファイルを安全に転送できるようにします。
Progress MOVEit Transfer は、顧客が管理するオンプレミス ソリューションと開発者が管理するクラウド SaaS プラットフォームとして提供されます。
Progress によると、MOVEit は Chase、Disney、GEICO、MLB を含む数千の企業で使用されています。
データを盗むためのゼロデイ大量悪用
は、攻撃者が MOVEit MFT ソフトウェアのゼロデイを悪用して、組織からのデータの大量ダウンロードを実行していることを知りました。
悪用がいつ行われたのか、どのような攻撃者が攻撃の背後にいたのかは不明ですが、多数の組織が侵害され、データが盗まれたと言われています。
昨日、Progress は、MOVEit MFT の「重大」な脆弱性について顧客に警告するセキュリティ アドバイザリをリリースし、パッチのテスト中に緩和策を提供しました。
Progress のセキュリティ勧告には、「Progress は、特権の昇格や環境への潜在的な不正アクセスにつながる可能性のある MOVEit Transfer の脆弱性を発見しました。」と書かれています。
「MOVEit Transfer をご利用のお客様は、当社のチームがパッチを作成している間、MOVEit Transfer 環境を保護するために、下記のとおり直ちに措置を講じることが非常に重要です。」
テスト中はパッチが利用できないため、Progress は MOVEit 管理者がインストールを保護するために使用できる緩和策をリリースしました。
悪用を防ぐために、開発者は管理者に対し、MOVEit サーバー上のポート 80 と 445 への外部トラフィックをブロックするよう警告しています。
Progress は、これらのポートをブロックすると、Web UI への外部アクセスが妨げられ、一部の MOVEit オートメーション タスクが動作しなくなり、API がブロックされ、Outlook MOVEit プラグインが動作しなくなると警告します。
ただし、SFTP および FTP/s プロトコルは引き続きファイルの転送に使用できます。
また、開発者は管理者に対し、「 c:MOVEit Transferwwwroot 」フォルダにバックアップや大きなファイルのダウンロードなど、予期しないファイルがないか確認するよう警告しています。
によって学習された情報に基づくと、大規模なダウンロードや予期しないバックアップは、脅威アクターがデータを盗んだか、盗もうとしていることを示している可能性があります。
ゼロデイ脆弱性に関する情報は公開されていません。ただし、ブロックされたポートと、異常なファイルをチェックするために指定された場所に基づいて、この欠陥は Web に関連する脆弱性である可能性があります。
パッチがリリースされるまで、組織はパッチを適用してサーバーを再び稼動させる前に、MOVEit 転送をシャットダウンし、侵害がないか徹底的に調査することを強くお勧めします。
恐喝は始まっていない
Progress は、この脆弱性が積極的に悪用されているとは明言していませんが、ゼロデイを使用してデータが盗まれた多数の組織を認識しています。
現時点では、攻撃者は被害者への恐喝を開始していないため、攻撃の背後に誰がいるのかは不明です。
ただし、この悪用は、2023 年 1 月のGoAnywhere MFT ゼロデイ大規模悪用や、2020 年 12月の Accellion FTA サーバーのゼロデイ悪用と非常に似ています。
これらの製品は両方ともマネージド ファイル転送プラットフォームであり、 Clop ランサムウェア ギャングによってデータを盗んだり組織を脅迫したりするために頻繁に悪用されました。
攻撃について詳しく知るためにプログレスに問い合わせたが、すぐには返答は得られなかった。
Comments