エクスプロイト&脆弱性
ファイル転送サービスMOVEit File Transferに深刻なSQLインジェクションの脆弱性:影響と対策を解説
ファイル転送サービスMOVEit File Transferにおいて複数のSQLインジェクションの脆弱性が報告されました。本脆弱性による攻撃が既に米国連邦政府機関で確認されていることから、本稿ではその影響と対策について解説します。
ファイル転送サービスMOVEit File Transferにおける脆弱性の概要
米国政府機関で広く利用されているファイル転送サービス「MOVEit File Transfer」で、過去数週の間に複数のSQLインジェクションの脆弱性が報告されました。
- CVE-2023-35708(2023年6月15日)
- CVE-2023-35036(2023年6月9日)
- CVE-2023-34362(2023年5月31日)
本サービスを利用している企業や組織は、MOVEitの親会社Progress社が公開している最新の情報をご確認いただき、迅速に修正プログラムの適用や軽減策を検討することを推奨します。
MOVEit Transfer and MOVEit Cloud Vulnerability
https://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability
米国連邦政府機関における脆弱性の影響
先週、米国の地方自治体や連邦組織がランサムウェアグループ「Clop」に侵入されたという事例が、複数回に渡って報告されています。本攻撃については依然として不明な部分も多く、今年のはじめにバイデン政権が発表した「国家サイバーセキュリティ戦略」に対する第一の試練とも見なせるでしょう。明確に分かっていることは、不明な点が多いほど、それはサイバー犯罪者にとっての強みになるということです。
幅広い政府系組織をユーザとして持つデータ転送サービス「MOVEit」の脆弱性を突くことで、Clopはエネルギー省や、複数州に渡る大学関連システムなどの組織に侵入しました。この対応に関する進捗報告はさまざまであり、ある代表者はいち早く攻撃を特定して緩和措置を取った旨を表明したのに対し、他の代表者はそのようなポジティブな見解をすぐには表明しないなど、組織や担当者の間で差異が見られました。被害が発生した際に取り組むべき重要な課題の1つは、攻撃者がすでに何を成し遂げたのかを把握し、攻撃が続いている場合は、次に攻撃者が何を行うのかを判断することです。
一方、Clopは水曜日の声明において、今回の攻撃で流出した情報が全て削除済みであることを報告しています。攻撃グループが自身の活動に一定の制約を設ける傾向は、今に始まったことではありません。しかし、こうした主張は決して額面通りに受け取るべきではありません。世界的なランサムウェアキャンペーン、特にロシア関連グループによる活動が及ぼす影響については、年々波があったものの、最近ではその重要性が高まりつつあります。
今回の件のように、流動的な状況に迅速に対応するために、組織はアタックサーフェス(攻撃対象領域)とサイバーリスクを確実に理解しておく必要があります。それを達成する際に、数多くの個々のセキュリティ要素が、重大な問題に対する認知と対処の遅延のギャップを増加させる可能性があります。こうした問題に対応するために、市場での需要は、組織がXDR、アタックサーフェスリスクマネジメント、パートナサービスとの統合、AI技術をシームレスに活用し全環境のデータを保護するシングルプラットフォームソリューションを採用することにシフトしてきています。
連邦政府機関が増加する課題やリスクに直面するなかで、トレンドマイクロと連邦政府委員会による連携が、彼らのセキュリティへの活動と世界的なサイバーセキュリティインテジェンスの共有促進に貢献しています。
新たに制定された米国国家のサイバーセキュリティ対策は、初めての重要な試練に直面しています。米国エネルギー省を含むいくつかの連邦省庁は、ファイル転送サービスMOVEitのゼロデイ脆弱性に起因するサイバー侵害の被害者となっています。初めのレポートでは、Oak Ridge Associated Universitiesと米国エネルギー省の廃棄物隔離パイロットプラント(Waste Isolation Pilot Plant, WIPP)に重大な影響を及ぼした攻撃は、相当なデータ損失に繋がったと報告されています。重要なことは、これらの攻撃はエネルギー省の内部システムには侵入しなかった一方で、エネルギー省で保管されていたデータが侵害されたということです。
この侵害による深刻な影響から、エネルギー省はこの状況を「重大なインシデント」として指定しました。数万人のエネルギー省関連の従業員、取引先の個人情報が今回の侵害によりリスクにさらされています。
エネルギー省は迅速にサイバー攻撃への対応を開始しました。データ保護とサイバーセキュリティへの専念を強調し、今回の脆弱性によるさらなる漏えいに対して予防策を施しました。また、エネルギー省はCISA(サイバーセキュリティインフラ庁)に本インシデントについて報告しました。
MOVEit Transferサービスの広範囲に及ぶ展開を考慮すると、他の多くの機関も同様の侵害を受ける可能性が予測されます。これを受けて、Eric Goldstein(CISAにおけるサイバーセキュリティのExecutive Assistant Director)は数多くの省庁が既に影響を受けているということを述べています。それを受けて、CISAは迅速な被害範囲の把握と軽減策の実行に努めています。
具体的な被害状況は未公表となっていますが、MOVEitの脆弱性を介した侵害は、ロシアに関連するランサムウェアグループ「CL0P」による仕業と疑われています。しかし、Jen Easterly(CISA Director)は、今回の攻撃は正確に標的を定めたのではなく、この機に便乗して大規模に実行されたものであったと述べています。
この出来事は、連邦政府のサイバーセキュリティにおける、こうした侵害からの回避、対処、回復能力を改善し、近代化する必要に迫られていることを示す注意喚起となりました。州政府機関、ジョンズ・ホプキンズ大学、Shell(オイル/ガス企業)もMOVEitの脆弱性による侵害の影響を受けた機関の一部となっています。
MOVEitの親会社Progress Softwareは、攻撃を抑制するために、脆弱性の改善に積極的に取り組んでいます。このサイバー攻撃による広範囲にも及ぶ影響は、国家のサイバーセキュリティインフラが直面する過酷な試練となっています。
トレンドマイクロ製品による調査方法と軽減策
Trend Vision OneTMによる調査
Trend Vision Oneは、Trend Micro Apex Oneのようなプロダクトによって収集されるデータをもとに、アタックサーフェスリスクマネジメントとXDRの機能を提供します。そして、今回のような脆弱性に対する最新のリスク状況を常に監視することができます。「Risk Insights」の機能は、影響を受ける資産を特定し、トレンドマイクロ製品によって攻撃の検知と防御を行うための最新の軽減策を案内します。
Executive Dashboard
Trend Vision Oneの「Executive Dashboard」における最新の「Zero Day Vulnerability」ページでは、本脆弱性に関する情報を提供しています。
Intelligence Reports
Trend Vision Oneの「Intelligence Reports」では、本キャンペーンが追加されており、XDRをご利用中で、且つ本機能を有効化されているユーザにおいて、自動でエンドポイント上のアクティビティスイ―ピングを実行します。
Campaign Intelligence
ランサムウェアグループ「Clop」が悪用する脆弱性など、攻撃キャンペーンの情報がTrend Vision Oneの「Campaign Intelligence」ページで確認できます。
トレンドマイクロ製品による軽減策と検知
何よりもまず、ベンダが提供する修正プログラムが利用可能になり次第、対象の環境に適用することを推奨します。Progress社は少なくとも2つの脆弱性を修正したパッチをリリースしており、今後も引き続き最新のパッチのリリースに関して情報を確認することを推奨します。
MOVEit Transfer and MOVEit Cloud Vulnerability
https://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability
ベンダのパッチに加えて、トレンドマイクロではさらなる被害を軽減するために、いくつかの検知・防御策を提供しています。
Trend Micro Cloud One - Workload Security & Deep Security IPS Rules
- 1011774 - MOVEit Transfer SQL Injection Vulnerability (CVE-2023-34362)
上記に加えて、新しいSQLインジェクションのゼロデイ脆弱性を悪用した攻撃を緩和するための、包括的なルールを3つ提供しています。
- 1006193 - Generic SQL Injection Protection - 3
- 1000608 - Generic SQL Injection Protection
- 1005613 - Generic SQL Injection Protection – 2
Trend Micro Cloud One - Network Security & TippingPoint Protection Filters
- 42808: HTTP: MOVEit Transfer SQL Injection Vulnerability
- 42811: HTTP: MOVEit Transfer MOVEitISAPI.dll Endpoint Access
Trend Micro Deep Discovery Inspector
- 4856: CVE-2023-34362 - MOVEit SQL Injection Exploit - HTTP (Request)
- 4854: Silock Webshell - HTTP(Request) (CVE-2023-34362)
悪意のあるペイロードに対するファイルスキャンによる検知(レポート内で言及されているhuman2.aspxバックドアとDLLバックドアドロッパ)
- Backdoor.ASP.SILOCK.A
- Trojan.MSIL.SILOCK.SM
悪意のあるペイロード作成する際の挙動監視ポリシー(レポート内で言及されているhuman2.aspxバックドア)
- 5276T
その他トレンドマイクロの各製品におけるパターンファイル、機械学習型検索、挙動監視、Webレピュテーションサービスなどでの対応は随時更新されます。
参考記事:
Insight on Vulnerabilities in MOVEit Transfer
By: Trend Micro
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)