MOVEitに新たな脆弱性発覚、Clopによる恐喝始まる中
MOVEit TransferにSQLインジェクションの新たな脆弱性
Progress Softwareは木曜、MOVEit Transferに影響を与える新たな脆弱性について開示した。これは、Clopランサムウェアによる悪用が報じられているゼロデイ脆弱性CVE-2023-34362や、6月9日に開示された脆弱性CVE-2023-35036に続き、いわばMOVEitにおける「第3」の脆弱性となる。
これは権限昇格やMOVEit Transfer環境への不正アクセスを可能にする恐れのあるSQLインジェクションの脆弱性で、CVE識別番号はまだ採番待ち(※)。Progress Softwareは顧客に対し、パッチの適用が可能になるまでは80番ポートと443番ポート上のMOVEit TransferへのHTTPおよびHTTPsトラフィックをすべて無効化するよう強く勧めている。
※アップデート(6月20日):6月20日現在までに、同脆弱性のパッチがリリースされている。またCVEも採番され、CVE-2023-35708となった。
すでにPoCが存在?
6月15日、ある研究者がMOVEit Transferにおける新たなゼロデイ脆弱性のPoCエクスプロイトコードのように思えるものに関する情報をTwitter上にアップした。これが今回Progressが開示したSQLインジェクションの脆弱性と同じものであるかどうかは不明だが、この研究者はBleepingComputerに対し、自身が作成に取り組んでいるPoCは同脆弱性に関連しているとの考えを伝えたという。なお同研究者が発見した脆弱性は15日より前にProgressへ報告されていたことから、今回の同社による脆弱性開示はこの報告を受けてのものであった可能性がある。
OK, don't tell anybody, but this attack works on current version of Progress MOVEit Transfer: 2023.0.2 (15.0.2.49). So I guess that I just dropped a 0 day here… 😅 Always remenber to check agfainst the current version!
— MCKSys Argentina (@MCKSysAr) June 15, 2023
Clopランサムウェアは石油大手シェルなど被害組織の恐喝を開始
MOVEit TransferのゼロデイCVE-2023-34362を悪用して「数百」の組織を侵害したとされるClopは、6月6日に出した声明の中で、被害組織が交渉に応じない場合、6月14日にこれらの被害組織をリークサイトに掲載し始めると述べていた。そしてその言葉通り、現在までに同グループの恐喝が開始されている。
Clopは14日、まず企業13社をリークサイトに追加。ただしこの時点で、これらの企業がMOVEit Transferを狙った攻撃に関連しているのか、または別のランサムウェア恐喝攻撃の被害者なのかは明かされなかった。しかし13組織のうち5組織(石油・ガス大手のシェルや米国のジョージア大学、ドイツの印刷会社ハイデルベルグなど)は、いずれもMOVEit関連の攻撃で影響を受けたことを認めているという。
米連邦政府機関や米エネルギー省関連組織も侵害された模様
CNNの報道によれば、複数の米連邦政府機関もMOVEit関連のサイバー攻撃に遭い、CISAの支援を受けているという。またFederal News Networkは、米エネルギー省関連の2つの組織が侵害されたことを報じている。このような状況を受けてCISAは、影響範囲の理解や確実かつタイムリーな対策の実施のために緊急で取り組んでいる、との声明を出した。
次なるXデーは6月21日か
Clopランサムウェアグループは、要求した身代金が支払われない場合、6月21日に盗んだデータのリークを開始していると述べている。米政府関連の組織や世界的な大企業での被害が明らかになる中、Clopの脅威はまだ止まる気配がないようだ。
(情報源:BleepingComputer ”Clop ransomware gang starts extorting MOVEit data-theft victims”、BleepingComputer “MOVEit Transfer customers warned of new flaw as PoC info surfaces”、The Hacker News “Third Flaw Uncovered in MOVEit Transfer App Amidst Cl0p Ransomware Mass Attack”、Progress “MOVEit Transfer Critical Vulnerability – CVE Pending (June 15, 2023)” )
6月16日:その他の注目ニュース
LockBitランサムウェアグループへの関与が疑われるロシア人男性、アリゾナで逮捕される
SiliconANGLE – Jun 15 2023 23:44
LockBitランサムウェアの攻撃数件に関与した容疑で、ロシア国籍の男Ruslan Magomedovich Astamirov被告が逮捕された。同被告は、2022年8月から2023年3月にかけて、米国、アジア、ヨーロッパ、アフリカの組織に対する攻撃5件に関与していた疑いがある。法執行機関がランサムウェア攻撃を受けた被害者が支払った身代金の一部を追跡したところ、Astamirov被告の管理下にある暗号資産アドレスに辿り着いたことが、今回の逮捕につながったものと思われる。なお同被告は電信詐欺を企てた罪と身代金要求などを企てた罪で起訴されており、有罪判決がなされた場合、各罪状につきそれぞれ最大20年と5年の拘禁刑が科されることになるとのこと。
ロシア関連APTのGamaredon、ウクライナに対する最近の攻撃でTTPをアップデート
Security Affairs – Jun 15 2023 13:53
ウクライナのセキュリティサービスや軍事関連組織、政府関連組織などへのサイバースパイ攻撃を続けているロシアのAPTグループ「Gamaredon」(別名 Primitive Bear、UAC-0010、Shuckwormなど)について、シマンテックがレポートを公開。これによれば、同グループは検出を回避するために繰り返しツールセットをアップデートしているという。今回シマンテックの研究者によって発見された新たなツールには、USB感染型マルウェアなどが含まれる。また最近の攻撃で同グループは、Telegramなど実在のサービスをC2サーバーとして利用するのが観測されている。スピアフィッシングに始まり、インプラントPteranodonやPowerShellスクリプト、バックドアPterodoなどさまざまなツールを使って行われる攻撃チェーンにより、一部のケースにおいてGamaredonは3か月間も検出されることなく標的ネットワークに潜んでいたとされる。