記事: MOVEit Transferの脆弱性に対する活動的な攻撃 — CVE-2023-34362 — Clop ランサムウェアグループによるもの

Cisco Talos Blog

blog.talosintelligence.com

記事: MOVEit Transferの脆弱性に対する活動的な攻撃 — CVE-2023-34362 — Clop ランサムウェアグループによるもの
By Cisco Talos
金曜日、2023年6月16日 14:06
Threat Advisory ランサムウェア SecureX

概要:

  • Cisco Talosは、MOVEit Transferの管理ファイル転送(MFT)ソリューションに存在するSQLインジェクションのゼロデイ脆弱性、CVE-2023-34362に対する攻撃試行の最近の報告を監視しています。この脆弱性は2023年5月下旬から活動的に標的にされています。
  • 成功した攻撃により、リモートコード実行(RCE)が可能となり、認証されていない攻撃者がウイルス対策ソリューション(AV)を無効化したり、マルウェアペイロードをデプロイしたりするなどの悪意ある活動を支援する任意のコードを実行できます。
  • Clop ランサムウェアグループは、被害者のデータを抽出し、支払いを強要するために、これまでに見たことのないWebシェル、LemurLootをデプロイするために、この脆弱性を攻撃する責任を主張しています。公的な報告によれば、これらの攻撃はMicrosoftが同じグループに帰属していると述べています。
  • その後、MOVEit Transferソリューションにはさらに2つの脆弱性、CVE-2023-35036およびCVE-2023-35708が見つかっていますが、現時点ではこれらが積極的に攻撃されているとの報告はありません。

CVE-2023-34362の詳細と継続的な攻撃

  • Progress Software Corporationは5月31日にセキュリティアドバイザリをリリースし、自社のMOVEit Transferソリューションのインターネット対応インスタンスとオンプレミスインスタンス脆弱性が存在し、特権の昇格と潜在的不正アクセスが発生する可能性があると顧客に警告しました。この脆弱性、CVE-2023-34362は5月27日から積極的に攻撃されていましたが、脅威行為者はそれを侵害し始めたかもしれないと早い段階で2021年から試行錯誤を始めた可能性があります。
  • 5月下旬時点で、公的な報告によれば、主に米国に位置する約2,500のMOVEitインスタンスが露出しているとのことで、エンタープライズ環境でのその存在感を示しています。

脆弱性の詳細

  • MOVEit Transferの脆弱性、CVE-2023-34362は、攻撃者が連鎖させてRCEを達成するための複数の欠陥をカバーしています。エクスプロイトチェーンの最初の部分は、SQLインジェクションを使用してsysadmin APIトークンを取得します。そのトークンは、リモートコードの実行を可能にする入力を適切に検証しないデシリアライゼーション関数を呼び出すために使用することができます。
  • 別の脆弱性、CVE-2023-35036が指定され、Progress Softwareはこの問題を対処するためのパッチとアドバイザリをリリースしました。CVE-2023-35036のパッチは、最初の脆弱性、CVE-2023-34362の攻撃中に初めて使用されたことが発見された成功したエクスプロイトチェーンの複数の部分を軽減することを目的としています。
  • 2023年6月15日に、別の脆弱性が特定されました、CVE-2023-35708。Progress Softwareは、この問題に対するインストール可能なパッチをリリースする過程にあります。

継続的な攻撃

  • Clop ランサムウェアグループは、6月5日に彼らのTorデータ漏洩サイトで公的な声明をリリースし、攻撃の責任を主張し、身代金の要求が支払われない場合は被害者のデータを公開すると脅しています。グループは、被害者が接触を開始するための期限として6月14日を設定しました。それ以外の場合、その会社の名前は警告としてデータ漏洩サイトに掲載されます。現在、データは公開されていませんが、影響を受けた企業を公的に名指しして非難し始めています。
  • この活動において、Clop ランサムウェアグループは、CVE-2023-34362を利用して、以前には見られなかったウェブシェル、"LemurLoot"をインストールしました。

LemurLootについて

  • LemurLootはC#で書かれており、データを抽出し、MOVEit Transferを実行するシステム上で実行するように設計されています。ウェブシェルは、脅威行為者からの受信接続要求を認証するために使用される、ハードコードされた36文字のGUID形式の値とともに展開されます。認証コードの値は、「X-siLock-Comment」ヘッダフィールドに存在しなければならず、その値が存在しない場合、HTTP 404エラーコードがオペレータに返されます。値が正しければ、ウェブシェルはタスクを受け入れられることを確認し、攻撃者が制御するSQLサーバに接続します。
  • LemurLootは、「X-siLock-Step1’のヘッダフィールドを使用してオペレータからコマンドを受け取ります。定義されたコマンドは-1と-2の2つあります。「X-siLock-Step2’および‘X-siLock-Step3’のフィールドは、コマンドが定義されていない場合に使用されるパラメータを保持するために使用されます。
  • コマンド"-1":LemurLootは、MOVEit TransferからAzureシステム設定を取得し、ファイルを取得するためのSQLクエリを実行します。
  • コマンド"-2":LemurLootは、LoginNameとRealNameが"Health Check Service"に設定されたユーザーアカウントを削除します。
  • 「X-siLock-Step1」の他の値については、ウェブシェルは、「X-siLock-Step2」および「X-siLock-Step3」で指定されたフォルダとファイル名によって指定されたファイルを開き、オペレータのためにそれを取得します。
  • 「X-siLock-Step2」と「X-siLock-Step3」の値が指定されていない場合、ウェブシェルはシステムからデータを抽出し、そのデータを攻撃者が制御するSQLサーバにアップロードします。

対策

  • Cisco Talosは、Progress Software Corporationがリリースしたパッチを適用することを強く推奨しています。また、最新のパッチが利用可能になった場合、それを適用することも推奨します。
  • Cisco SecureXのお客様は、このCVEと関連するリスクを管理および軽減するための詳細な情報とガイダンスを提供しています。
  • Cisco Talosはまた、この脆弱性を狙った攻撃の調査と追跡を続けています。