MOVEitに重大な認証バイパスの脆弱性、PoC公開済み&悪用の試みも観測され始める(CVE-2024-5806)
Help Net Security – June 25, 2024
Progress Softwareが、MOVEit製品における脆弱性CVE-2024-5805およびCVE-2024-5806を修正。前者はCVSSスコアが9.1で「Critical」の評価。後者は当初CVSS 7.4(High)評価だったものが現在までに変更され、同様にCVSS 9.1のCritical評価となっている。いずれも緊急性が高い上、CVE-2024-5806については技術的詳細やPoCもリリースされていることから、利用者には速やかなパッチ適用が推奨される。
脆弱性の概要:CVE-2024-5805、CVE-2024-5806
Progressは両脆弱性について6月25日に開示し、アドバイザリをリリースした。しかしWatchTowr Labsの研究者らによると、ユーザーはこれより前に非公開でホットフィックスの適用を指示されていたという。
CVE-2024-5805:不適切な認証の脆弱性
1件目は、Progress MOVEit GatewayのSFTPモジュールにおける不適切な認証の脆弱性で、悪用が成功すると認証のバイパスが可能になり得るもの。影響を受けるのはバージョン2024.0.0で、今月リリースされた2024.0.1で修正されている。
CVE-2024-5806:不適切な認証の脆弱性
2件目は、MOVEit TransferのSFTPモジュールにおける不適切な認証の脆弱性。アドバイザリ公開時点では「限られたシナリオにおいて(in limited scenarios)認証バイパスに繋がり得る」との記載があったが、その後、アドバイザリは更新され、CVSSスコアが7.4から9.1へと変更されるとともに、「限られたシナリオにおいて(in limited scenarios)」という記述は削除されている。
CVSSや深刻度評価は、新たに特定されたサードパーティコンポーネントの脆弱性により未パッチの場合のリスクが高まることが判明したのを受けて変更されたという。Progressはアドバイザリにおいて、最新版へのアップグレードを強く推奨するとともに、サードパーティの脆弱性に対する緩和策も提供している。
影響を受けるのは以下のバージョン:
- 2023.0.0以降の2023.0.11より前のバージョン(修正版:2023.0.11)
- 2023.1.0以降の2023.1.6より前のバージョン(修正版:2023.1.6)
- 2024.0.0以降の2024.0.2より前のバージョン(修正版:2024.0.2)
CVE-2024-5806のPoCは公開済み、悪用の試みも観測され始める
両脆弱性の開示後、CVE-2024-5806の非常に詳しい分析結果と悪用の方法、そしてPoCエクスプロイトが、WatchTowrの研究者らによって同じ日のうちに公開された。脅威モニタリングサービスのShadowserverは、脆弱性の詳細がリリースされてまもなく、CVE-2024-5806を悪用しようとする試みが観測され始めたと報告している。
Rapid7の研究者によれば、同脆弱性を悪用するために必要な条件としてわかっているものは3つあり、1つは攻撃者が既存のユーザー名を把握していること、2つ目はターゲットアカウントがリモートで認証可能であること、そして3つ目はSFTPサービスがインターネットに露出していることだという。Shadowserverが公開しているダッシュボードによれば、6月24日時点でネット接続されているMOVEitインスタンスは全世界で「1,811」存在していた模様。ただ、WatchTowrの研究者らは、Progress社が数週間〜数か月かけて密かに顧客への通知とパッチ適用依頼を行っていたことを踏まえ、今なお脆弱なユーザーはいないと考えている。
MOVEitといえば、昨年Cl0pランサムウェアによりゼロデイ脆弱性を大規模悪用されたことで、1,000を超える組織が影響を受けたのが記憶に新しい。Progress社からのコンタクトがあったにもかかわらず何らかの理由でパッチを適用できていない組織には、大至急アップデートを適用することが推奨される。