MOVEit Transfer の脆弱性(CVE-2023-34362)を突くエクスプロイトが多発、実行犯はランサムウェアグループ「Clop」
- Cisco Talos は、CVE-2023-34362
に対するエクスプロイトの試みに関する最近のレポートをモニタリングしています。これは、マネージドファイル転送(MFT)ソリューションである MOVEit Transfer に存在する SQL インジェクションのゼロデイ脆弱性で、2023 年 5 月下旬以降、何度も標的にされています。 - エクスプロイトが成功するとリモートコード実行(RCE)につながる危険性があります。その結果、認証されていない攻撃者が任意のコードを実行できるようになり、ウイルス対策ソリューション(AV)の無効化やマルウェアのペイロードの展開など、悪意のある活動を行いやすくなります。
- ランサムウェアグループ Clop が、この脆弱性を悪用したという声明を公開しました。これまで確認されていなかった LemurLoot という Web シェルを展開し、被害者のデータを流出させて身代金を要求したとのことです。Microsoft 社の公開レポートでも、これらの攻撃は同グループによるものだとされています。
- その後、MOVEit Transfer ソリューションには、CVE-2023-35036 と CVE-2023-35708 という 2 件の脆弱性も見つかっていますが、現時点では、エクスプロイトが多発しているという報告はありません。
CVE-2023-34362 の詳細と今も続くエクスプロイト
5 月 31 日、Progress Software 社は、同社の MOVEit Transfer ソリューションのインターネット向けインスタンスとオンプレミスインスタンスに脆弱性があり、権限の昇格や環境への不正アクセスの危険性があるとしてセキュリティアドバイザリをリリースし、顧客に注意を喚起しました。この脆弱性(CVE-2023-34362)のエクスプロイトが多発したのは 5 月 27 日以降ですが、攻撃者は早ければ 2021 年時点で、この脆弱性を突いた不正侵入を試みていた可能性があります。
公開レポートによると、5 月下旬の時点で約 2,500 の MOVEit インスタンスがインターネットに公開されており(主に米国で展開)、企業環境で広く利用されていることが明らかになっています。
脆弱性の詳細
MOVEit Transfer の脆弱性(CVE-2023-34362)には複数の欠陥があります。攻撃者は連鎖的にそれらの欠陥を突くことにより、昇格した権限でリモートコードを実行することができます。エクスプロイトチェーンの最初の段階で SQL インジェクションを使用して sysadmin の API トークンを取得します。このトークンを使用して、入力を適切に検証しない逆シリアル化関数を呼び出すことで、リモートコード実行が可能になります。
その後、2 件目の脆弱性に CVE-2023-35036 が割り当てられ、Progress Software 社はこの問題に対処するパッチとアドバイザリをリリースしました。CVE-2023-35036 のパッチは、エクスプロイトの成功が最初に確認された攻撃チェーンで使用された 1 件目の脆弱性(CVE-2023-34362)の複数の欠陥部分を修正するものです。
2023 年 6 月 15 日には、別の脆弱性(CVE-2023-35708)が確認されました。Progress Software 社は、この問題に対するインストール可能なパッチ(DLL ドロップイン)をリリースしようとしている最中です。
今も続く脆弱性のエクスプロイト
6 月 5 日、ランサムウェアグループ Clop が同グループの Tor データリークサイト上で公式声明を発表しました。その中で攻撃への関与を主張し、身代金を支払わなければ被害者のデータを公開すると脅迫しています。同グループは、被害者が 6 月 14 日までに連絡してこなければ警告として会社名をデータリークサイトに掲載するとしています。現時点ではデータは公開されていませんが、同グループは被害を受けた企業を公に名指しし、名誉を傷つけ始めています。
このランサムウェア攻撃で、Clop は CVE-2023-34362 を悪用し、これまでは確認されていなかった「LemurLoot」という Web シェルをインストールしました。
LemurLoot は C# で記述されており、データを流出させ、MOVEit Transfer が稼働しているシステム上で実行されるように設計されています。この Web シェルには 36 文字の GUID 形式の値がハードコードされており、攻撃者が送信してくる接続要求を認証するために使用されます。認証コード値が「X-siLock-Comment」ヘッダーフィールドに存在する必要があり、存在しない場合は HTTP 404 エラーコードが攻撃者に返されます。この値が正しいとタスクを受け付けることが可能ということになり、Web シェルは攻撃者が管理する SQL サーバーに接続します。
LemurLoot はヘッダーフィールド「X-siLock-Step1」を使用し、攻撃者からのコマンドを受信します。明確に定義されているコマンドは「-1」と「-2」の 2 つです。「X-siLock-Step2」と「X-siLock-Step3」は、コマンドが定義されていない場合に使用されるパラメータを保持するためのフィールドです。
コマンド「-1」:MOVEit Transfer から Azure システム設定を取得し、SQL クエリを実行してファイルを取得します。
コマンド「-2」:「正常性チェックサービス(Health Check Service)」に設定されているユーザーアカウント(LoginName と RealName)を削除します。
「X-siLock-Step1」が他の値の場合、「X-siLock-Step2」と「X-siLock-Step3」それぞれのフォルダとファイル名で指定されたファイルを開き、攻撃者のためにそのファイルを取得します。
「X-siLock-Step2」と「X-siLock-Step3」の値が指定されていない場合は、「正常性チェックサービス」の admin ユーザーを作成してからアクティブセッションを作成します。
推奨事項
Progress Software 社は、この脆弱性が悪用される可能性から保護するためのいくつかの緩和策と、ネットワークセキュリティのベストプラクティスを提供しています。
- CVE-2023-34362、CVE-2023-35036、CVE-2023-35708 のアドバイザリを参照し、対応するパッチを適用してください。
- パッチが適用されるまでは、ポート 80 と 443 の MOVEit Transfer への HTTP/HTTPS トラフィックを拒否するようにファイアウォールのルールを変更します。
- 不正なファイルやユーザーアカウントは削除し、サービスアカウントのログイン情報をリセットします。
- 侵害が発生した場合に早期に検出できるよう、ネットワークを継続的に監視します。
- ネットワークのファイアウォールのルールを更新し、MOVEit Transfer のインフラストラクチャへの接続については、信頼できる既知の IP アドレスからのみ許可するようにします。
- リモートアクセスポリシーを更新して、既知の信頼できる IP アドレスからのインバウンド接続のみを許可し、証明書に基づくアクセス制御を使用します。
- 多要素認証を有効にします。多要素認証(MFA)は、ユーザーアカウントのパスワードが紛失、盗難、漏洩した場合に、MOVEit Transfer アカウントを認証されていないユーザーから保護します。
カバレッジ
今回の脅威は、以下の製品で検出してブロックすることが可能です。
Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。
Cisco Secure Web Appliance の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。
Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。
Threat Defense Virtual、適応型セキュリティアプライアンス、Meraki MX など、Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。Umbrella の無料トライアルはこちらからお申し込みください。
Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトを検査します。
特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
Cisco Talos は、この脅威から保護するために次の Snort SID をリリースしています。
Snort 2:
- 61876 – 61879
- 61936
Snort 3:
- 61936
- 300582, 300583
今回の脅威に関連するマルウェアアーティファクトを検出するために、以下の ClamAV シグネチャがリリースされました。
- Win.Ransomware.Clop-6881304-0
- Win.Ransomware.Clop-6887770-0
IOC
Web シェル(LemurLoot)
702421bcee1785d93271d311f0203da34cc936317e299575b06503945a6ea1e0
9d1723777de67bc7e11678db800d2a32de3bcd6c40a629cd165e3f7bbace8ead
9e89d9f045664996067a05610ea2b0ad4f7f502f73d84321fb07861348fdc24a
d49cf23d83b2743c573ba383bf6f3c28da41ac5f745cde41ef8cd1344528c195
b1c299a9fe6076f370178de7b808f36135df16c4e438ef6453a39565ff2ec272
6015fed13c5510bbb89b0a5302c8b95a5b811982ff6de9930725c4630ec4011d
48367d94ccb4411f15d7ef9c455c92125f3ad812f2363c4d2e949ce1b615429a
2413b5d0750c23b07999ec33a5b4930be224b661aaf290a0118db803f31acbc5
e8012a15b6f6b404a33f293205b602ece486d01337b8b3ec331cd99ccadb562e
本稿は 2023 年 06 月 16 日に Talos Group
Tags:
