MOVEit SQL インジェクション ゼロの被害者

セルゲイ・ニーベンス - Stock.adobe.com

複数の組織が現在、Progress Software のファイル転送製品 MOVEit の最近明らかになった脆弱性を介して発生するサイバー攻撃の影響を受けていると名乗り出ており、この脆弱性はランサムウェア オペレーターなどによって広く悪用されています。

過去24時間以内に、BBC、ブーツ、ブリティッシュ・エアウェイズ（BA）などの組織がすべて影響を受けたことを認めており、BBCはスタッフに対し、この事件でID番号、生年月日、自宅住所、国民保険番号が侵害されたと伝えた。 。 BAのスタッフも、銀行口座の詳細が盗まれた可能性があると言われている。

BA などの場合、事件は給与および人事部門向けの IT サービスのサプライヤーである Zellis のシステムを通じて始まりました。 Zellisの広報担当者は、顧客が影響を受けた「少数の」組織を認めた。

「Zellis が所有するすべてのソフトウェアは影響を受けず、関連するインシデントや当社の IT 資産の他の部分への侵害はありません」と広報担当者は述べました。

「このインシデントを認識すると、私たちは直ちに行動を起こし、MOVEit ソフトウェアを利用するサーバーを切断し、外部のセキュリティ インシデント対応専門チームを派遣してフォレンジック分析と継続的な監視を支援しました」と彼らは付け加えました。

ゼリス氏は、情報コミッショナー局（ICO）やアイルランドデータ保護委員会（DPC）など英国とアイルランド両国の関連当局に通知したと述べた。

BAの広報担当者は「当社は、MOVEitと呼ばれるサードパーティサプライヤーの1つを通じて発生したZellisのサイバーセキュリティインシデントの影響を受けた企業の1つであると知らされた。Zellisは英国の数百の企業に給与サポートサービスを提供している」と述べた。私たちもその一人です。

「このインシデントは、広く使用されている MOVEit ファイル転送ツールにこれまで知られていなかった新たな脆弱性が原因で発生しました。私たちは、個人情報が侵害された同僚にサポートとアドバイスを提供するよう通知しました。」

BAの親会社であるIAGは、影響を受ける可能性のある人々の支援に努めているとされており、独自にこの事件をICOにも報告した。

英国国家サイバーセキュリティセンター（NCSC）の広報担当者は、同局が状況を注意深く監視していると述べた。

「MOVEit Transferソフトウェアに影響を及ぼす重大な脆弱性が悪用されているとの報告を受け、我々は英国への影響を完全に理解するよう取り組んでいる」と彼らは述べた。 「NCSC は、ベンダーのベスト プラクティスのアドバイスに従い、推奨されるセキュリティ アップデートを適用することで、直ちに行動を起こすことを強く推奨します。」

MOVEit マネージド ファイル転送 (MFT) ソフトウェア製品は、Standard Networks という会社によって最初に開発され、2000 年代初頭にリリースされました。 この会社はその後、ネットワーク ソフトウェア スペシャリストのイプスイッチに買収され、イプスイッチ自身も 2019 年にプログレスに買収されました。

2023 年 5 月 31 日水曜日、Progress は、MOVEit 転送製品のすべてのユーザーに影響を与える MOVEit の重大な脆弱性を発見し、パッチを適用したと発表しました。

CVE-2023-34362 として追跡されているこのバグは、SQL インジェクションの脆弱性であり、ユーザーがデータベース エンジンとして MySQL、Microsoft SQL Server、または Azure SQL を使用しているかどうかに応じて、認証されていない攻撃者がユーザーの MOVEit Transfer データベースにアクセスできる可能性があります。 – データベースの内容に関する情報を推測し、その要素を変更または削除する SQL ステートメントを実行します。

Microsoft、Mandiant、Rapid7 など、複数のセキュリティ企業が過去 1 週間にわたって CVE-2023-34362 の悪用を追跡しています。

Microsoftは、この脆弱性を悪用した攻撃は、Clop（別名Cl0p）オペレーションを実行することで最もよく知られるランサムウェアオペレータであるLace Tempestとして現在追跡している脅威アクターによるものであると考える準備ができていると述べた。

Cl0p はランサムウェアの中でも特に毒性が高く、そのオペレーターはファイル転送プロセスに影響を与える問題に特に関与していることが広く知られています。 彼らは今年初め、Fortra GoAnywhere MFT ツールの脆弱性を悪用し、ストレージおよびセキュリティ企業の Rubrik を含む 90 名を超える被害者のシステムを攻撃する一連の攻撃の背後にいた。

マンディアントは、Clopに関連する少なくとも1人の攻撃者がSQLインジェクションの脆弱性に取り組むパートナーを探していることも観察したが、MOVEitの脆弱性に関連する活動とランサムウェア集団との関連性を判断するのに十分な証拠はなかったと述べた。 同社のアナリストらは、今後数週間のうちにさらに多くの被害者が身代金要求を受け始めると予想していると述べた。

Rapid7 は、CVE-2023-34362 を悪用して観察された動作は、標的を絞ったものではなく、ほとんどが日和見的であったと述べました。

そのアナリストは、「私たちが確認しているアーティファクトの均一性は、公開されたターゲットに無差別に 1 つのエクスプロイトを投げ込む単一の脅威アクターの仕業である可能性があります。」と述べています。

MOVEit の広報担当者は次のように述べています。「当社の顧客はこれまでも、そしてこれからも当社の最優先事項です。脆弱性を発見したとき、当社は直ちに調査を開始し、MOVEit の顧客にこの問題について警告し、直ちに軽減策を提供しました。当社は、次の Web アクセスを無効にしました。」 MOVEit Cloud はクラウド顧客を保護し、脆弱性に対処するセキュリティ パッチを開発し、MOVEit Transfer 顧客に提供し、MOVEit Cloud にパッチを適用して再有効化するまですべて 48 時間以内に実行しました。 「私たちは引き続き業界をリードするサイバーセキュリティ専門家と協力して問題を調査し、すべての適切な対応策を講じることを保証します。」 この脆弱性に関して、当社は連邦法執行機関およびその他の機関と連携しています。 また、当社は、広く使用されているソフトウェア製品の脆弱性を悪意を持って悪用しようとする、ますます巧妙かつ執拗なサイバー犯罪者と戦うための業界全体の取り組みにおいて、主導的かつ協力的な役割を果たすことにも取り組んでいます。 追加の詳細については、MOVEit Transfer および MOVEit Cloud に関するナレッジ ベースの記事をご覧ください。」

Darktrace の脅威分析責任者である Toby Lewis 氏は、CVE-2023-34362 はランサムウェアを直接展開するのに十分なアクセスを提供していないようであり、攻撃者が被害者のネットワークを横方向に移動することも許可していないようだが、それでもランサムウェアが攻撃される可能性はあると述べた。 Clop などの演算子に使用します。

「MOVEitを介して機密資料が転送されている場合、この悪用により企業は盗まれたデータを公開するという脅迫にさらされる可能性がある」と同氏は述べた。

「Zellis は MOVEit の顧客の 1 つにすぎず、まだ明らかにされていない他の組織も影響を受ける可能性があります。Zellis は日和見的なスキャンと悪用の被害者である可能性が高く、これは数週間にわたって発生している可能性があります。 「この事件は先週公表されたばかりだ。この事件はMOVEitプラットフォームの顧客からのデータ盗難に限定されているようだ」と同氏は述べた。

ReliaQuest CISO の Rick Holland 氏は、事件はまだ初期段階にあり、解決には時間がかかるだろうと述べた。

「今回のキャンペーンによる被害者の数はまだ分からないが、脆弱なMOVEitソリューションをインターネットに公開した組織は侵害を想定しなければならない」とホランド氏は電子メールでのコメントでComputer Weeklyに語った。

「他の脆弱性で見てきたように、この脆弱性が公に知られると、狂乱的な餌食が起こります。Clop が MOVEit を侵害しなかったとしても、他の脅威アクターが侵害した可能性があります。身代金通知を受け取っていない組織は、自分たちが侵害されていると想定すべきではありません。」クリアです。

「この脅威グループは非常に多くの組織を侵害した可能性が高いため、被害者のキューを処理するのに時間がかかる可能性があります」と同氏は付け加えた。

この記事は、MOVEit からの声明を組み込むために、6 月 7 日水曜日の午後 2 時 20 分に編集されました。