MOVEitの脆弱性に対する公開されたエクスプロイトにより暴露が増加（2023年6月23日公開）

Progress Software社のファイル転送サービス、MOVEit TransferでQLインジェクションの脆弱性が見つかりました。本脆弱性は、5月27日以降活発に悪用されており、同社はこれまでに表面化した3つの欠陥に対してパッチを提供していますが、すでに100以上の組織が被害にあっています。MOVEit Transfer のすべてのバージョンが脆弱です。Progress Software社は「製品チームとサードパーティのフォレンジック・パートナーが、脆弱性と関連するパッチを確認し、問題が解決されたと判断した」」と追加しています。また、「MOVEit Transferのユーザーである場合、MOVEit Transferの環境を保護するために、以下に記載されているように直ちに対処することが極めて重要である」とアドバイザリで述べています。同社はまた、予防措置としてMOVEit Cloudを2023年6月15日にオフラインにしました。

Progress Softwareブログ：

https://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability

◾️ランサムウェアグループCLOPとの関連性

Cybersecurity Infrastructure Security Agency (CISA)は、これらの公開されたエクスプロイトをCLOPと呼ばれるロシアに関連したグループに関連付けています。CLOPは、金融サービスや政府機関など様々な産業のターゲットに対して、データ窃取、恐喝する、ランサムウェアを専門とする多作な脅威のあるアクターです。ニュースによると、政府機関や航空会社、教育機関、通信会社などを含む100以上の組織がこれらの脆弱性によるエクスプロイトの被害に遭っています。

◾️MOVE it Transferの欠陥に関する情報：

CVE-2023-34362

CWE-89：SQLコマンドで使用される特殊要素の不適切な中立化（SQLインジェクション）

この欠陥は、2021.0.6 (13.0.6)、2021.1.4 (13.1.4)、2022.0.4 (14.0.4)、2022.1.5 (14.1.5)、および 2023.0.1 (15.0.1) より前のMOVEit Transferのバージョン に影響します。この脆弱性は、MOVEit Transferウェブアプリケーションに影響を与え、認証されていないアクセスをアプリケーションのデータベースに可能にし、保存されているすべてのデータを危険にさらします。また、使用しているデータベースエンジンによっては、Progress Softwareによれば、脆弱なアプリケーションでクラフトされたSQLステートメントを実行できる可能性があり、要素を変更または削除することができます。CVE-2023-34362は、CISAの既知の悪用される脆弱性のカタログにも追加されています。

CVE-2023-35036

このCVE に対する公開されたエクスプロイトの報告はありません。しかし、他の2つのMOVEit の欠陥と同様に、このCVEはソフトウェアのすべてのバージョンに影響を与え、認証されていないユーザがデータベースにアクセスし、細工されたペイロードを使用してデータベースの内容を変更および開示することができます。

CVE-2023-35708 

先週公開されたこのCVEも、他の2つのCVEと同様に、MOVEit Transferデータベースからデータを盗み出すか操作するために使用されるSQLインジェクションです。すべてのバージョンが影響を受けます。Progress Softwareは、この脆弱性を標的とした公開された攻撃コードについては把握していないと述べています。

◾️クラロティ製品によるMOVEit脆弱性管理ソリューションご提案

このような脆弱性へ対応するクラロティのソリューションは下記の通りです。ご質問がございましたらお気軽にクラロティまでお問い合わせください。

●Claroty xDomeとMedigateプラットフォーム

クラロティのSaaSソリューション。ユーザーがMOVEitの脆弱性に関連するリスクを特定し、評価、軽減することができます。具体的な内容は以下の通りです：

MOVEitの脆弱性の特定： MOVEit Transferの脆弱性を正確に特定するには、各資産にインストールされているアプリケーションの可視化が必要です。受動的な資産検出方法を使用する場合、この種の情報は一般的には利用できません。安全なクエリやClaroty Edgeなどの代替的な検出方法を使用することで、ユーザーはネットワークデバイスにインストールされたアプリケーションとそれに対応する脆弱性を特定することができます。MOVEit の脆弱性は、パッチ管理、脆弱性オーケストレーション、EDR ツールとの統合によっても発見可能です。上記のいずれかの手段で発見された場合、これらのCVEは、調整されたリスクスコア、関連するデバイス、優先順位グループなどとともに、プラットフォームの脆弱性ページに表示されます。

エクスプロイトの監視： クラロティのSaaSソリューションは、資産間の通信を継続的に監視し、既知の危険なIPアドレスへの接続や観察された挙動に基づく異常な活動を検知します。MOVEitの脆弱性を悪用など、潜在的に悪質なアクティビティがあれば、MITRE ATT&CKフレームワークにマッピングされたアラートが表示され、セキュリティーチームに、関連コンテキストと緩和策の推奨事項が提供されます。

エクスプロイトからの保護： Claroty xDomeとMedigateプラットフォームは、顧客環境内のすべての資産に対して、推奨されるコミュニケーションポリシーを提供します。これらのポリシーは、統合されたNACまたはファイアウォールソリューションを介して自動的に設定、エクスポート、強制的に適用することで、脆弱なデバイスへの攻撃試行を防止し、制御するのに役立ちます。ポリシー違反や既知の危険なIPとの通信アラートは、統合されたSIEMソリューションに送信され、セキュリティチームが既存のワークフローに組み込むことができます。

●クラロティ継続的脅威検知（CTD）

MOVEitの脆弱性の特定： Claroty xDomeやMedigateと同様に、CTDの安全なクエリとClaroty Edgeの収集方法を使用し、各資産にインストールされたアプリケーションを特定、資産が脆弱なMOVEit Transferソフトウェアのバージョンを実行しているかどうかを明らかにすることができます。さらに、CTDにはProgress MOVEit Transferの脆弱性に特化した複数のYARAルールが含まれており、資産通信のパッシブ・モニタリングによって発見することができます。

エクスプロイトの監視：クラロティCTDは、MOVEit TransferのYARAルールに関連するシグネチャや潜在的な攻撃試行を示す行動の異常な点を含む資産のトラフィックを継続的に監視します。資産の行動ベースラインからの逸脱はアラートが生成され、それに至った一連のイベント、関連する資産情報、およびMITRE ATT＆CK for ICSフレームワークへのマッピングを含む情報が提供されます。これにより、セキュリティチームが調査と対応を行う際にサポートされます。

エクスプロイトからの保護 ：CTDのVirtual Zones機能を使用すると、ネットワークセグメンテーションポリシーの作成と有効化を行い、エクスプロイトの試みに対して環境を保護することができます。 CTDで検出された通信違反や既知のシグネチャ警告は、統合SIEMやSOARシス テムに自動的に送信され、既存の対応ワークフローに組み込むことができます。

ブログ原文：

Public Exploits for MOVEit Vulnerabilities Increase Exposure

https://claroty.com/blog/patch-now-public-exploits-for-moveit-vulnerabilities-increase-exposure

クラロティ　ニュースレタートップページに戻る