FortiGuard Labs 脅威リサーチ
ゼロデイ攻撃に悪用されるMOVEit Transferの重大な脆弱性(CVE-2023-34362)
影響を受けるプラットフォーム: SQLデータベースが動作し、パッチが未適用のあらゆるMOVEit Transferバージョン
影響を受けるユーザー: 脆弱なバージョンのMOVEit Transferを使用しているあらゆる組織
影響: リモートの攻撃者によるバックドアのインストールやデータの流出
深刻度: 高
FortiGuard Labsは、セキュアマネージドファイル転送(MFT)ソフトウェアのMOVEitに重大なSQLインジェクションのゼロデイ脆弱性(CVE-2023-34362)が存在すると認識しています。MOVEitは、Cl0pランサムウェアの脅威アクターに悪用されていると言われています。政府、金融、メディア、航空、医療関連の有名な組織が被害を受け、データが流出したり窃取されたりしたことが報告されています。
その深刻度の高さから、CISAは2023年6月1日、この脆弱性に関する勧告を発表しました。さらに6月2日には、悪用された既知の脆弱性カタログを更新し、CVE-2023-34362を追加しました。
このブログでは、CVE-2023-34362について知っておくべき情報をお伝えします。さらに詳細な情報については、関連するFortiGuard Labsアウトブレイクアラートをご覧ください。
MOVEit Transferとは
MOVEit Transferは、市販されているセキュアマネージドファイル転送ソフトウェアで、SFTP、SCP、およびHTTPベースのアップロードを使用して、組織と顧客との間で安全にファイルを転送することができます。
CVE-2023-34362とは
MOVEit Transferには、SQLインジェクションに対する脆弱性があります。この脆弱性によって、未認証の攻撃者にMOVEit Transferのデータベースへのアクセスを許してしまう可能性があります。SQL(Structured Query Language:構造化照会言語)では、リレーショナルデータベースに対してクエリやコマンドを実行できます。インジェクション脆弱性を利用すると、攻撃者はSQLクエリを操作してシステムをエクスプロイトし、データを取得または変更することができます。
その場合、攻撃者は本来ならばセキュリティで保護されているはずのデータベースからデータを取得し、独自のSQLクエリを実行し、データの変更や削除を行います。この脆弱性は、MOVEitの2021.0.6(13.0.6)以前のバージョンと、2021.1.4(13.1.4)、2022.0.4(14.0.4)、2022.1.5(14.1.5)、2023.0.1(15.0.1)、さらには次のエンジンを使用して実際のデータベースをホストしているバージョンに影響します。MySQL(オープンソースのリレーショナルデータベース管理システム)、Microsoft SQL Server(Microsoftのオンプレミスリレーショナルデータベース管理システム)、Azure SQL(Microsoftのクラウドベースリレーショナルデータベース管理システム)
報告によると、バックドアとして機能するWebシェルがインストールされ、エクスプロイトが成功するとデータが漏洩されます。ただし、次のセクションで説明するように、攻撃者はエクスプロイト後に任意のファイルを配信することができます。
本ブログの執筆時点において、この脆弱性にはCVSSスコアによる判定も必要とされています。
インストールされたWebシェルの動作
CVE-2023-34362のエクスプロイト後にインストールされたと思われるWebシェルバックドアを調査した結果、バックドアに対するすべてのコマンドは、追加のHTTPリクエストヘッダーを介して送信されることが判明しました。攻撃者を検証し、バックドアへのアクセスを許可するには、パスワードが必要です。パスワードは「X-siLock-Comment」ヘッダーと共に送信されます。パスワードが無効な場合、バックドアは404 HTTPステータスコードを返します。これはバックドアの存在を隠すためです。
図1:バックドアのパスワードを検証するコード
FortiGuard Labsは、以下のようなWebシェルの攻撃フローも突きとめました。
1. サービスアカウントを削除する。HTTPリクエストヘッダーには以下が含まれます。
- X-siLock-Comment:[パスワード]
- X-siLock-Step1:-2
「X-siLock-Step1」ヘッダーで「-2」が送信されると、バックドアはデータベース内の「user」テーブルから「Health Check Service」という名前のユーザーを削除します。
図2:MOVEitサービスアカウントを削除するコード
2. データベースファイルをリストに表示する。HTTPリクエストヘッダーには以下が含まれます。
- X-siLock-Comment:[パスワード]
- X-siLock-Step1:-1
「X-siLock-Step1」ヘッダーで「-1」が送信されると、バックドアはデータベース内のファイルをリストに表示します。ファイルのリストには、ファイルメタデータも含まれています。ファイルのID、名前、サイズ、ファイルの場所(フォルダパス)、ファイルの所有者、ファイルをアップロードしたユーザーも表示されます。さらに、ファイルが関連付けられている組織もリストに含まれます。
3. 新規サービスアカウントを作成する。HTTPリクエストヘッダーには以下が含まれます。
- X-siLock-Comment:[パスワード]
- X-siLock-Step1:[任意の組織ID]
「X-siLock-Step1」ヘッダーで「-1」および「-2」以外の整数値が送信されると、バックドアはその整数値を組織IDと見なします。攻撃フローのステップ2でデータベースファイルがリストに表示されると、そこから組織IDを列挙することができます。攻撃者は、特定の組織の新規サービスアカウントを作成しようとします。攻撃フローのステップ1が成功したことを確認するために、このコマンドはまず、その組織に所属しており、セッションがアクティブで権限レベル「30」のユーザーを探します。「Health Check Service」という名前のアカウントが存在しない場合、バックドアは16桁のランダムな英数字から成る新しいユーザー名を作成します。次に、指定された組織の新しいHealth Check Serviceアカウントとして、そのユーザー名を挿入します。そして、このサービスアカウントはローカルであると想定されるため、IPアドレス127.0.0.1を使用して、現在アクティブなセッションのリストにそのアカウントを追加します。
図3:新規MOVEitサービスアカウントを作成するコード
4. 任意のファイルをダウンロードする。HTTPリクエストヘッダーには以下が含まれます。
- X-siLock-Comment:[パスワード]
- X-siLock-Step1:[任意の組織ID]
- X-siLock-Step2:[任意のフォルダID]
- X-siLock-Step3:[任意のファイルID]
組織ID、フォルダID、ファイルIDがすべて指定されると、バックドアはファイルのダウンロードを試みます。これらの値は、全体的な攻撃フローのステップ2から取得できます。
攻撃の範囲
この脆弱性の影響を受けた組織の正確な数は不明ですが、公表されている情報によると、複数の有名な組織が被害を受けたということです。
CVE-2023-34362のエクスプロイトによってインストールされたと思われるWebシェルバックドアは、米国、英国、ドイツ、イタリア、インド、パキスタンから公共のファイルスキャンサービスに送信されていました。したがって、これらの国々に潜在的な被害者が所在している可能性があります。
CVE-2023-34362に関するベンダーのアドバイザリ
ベンダーは2023年5月31日、以下のタイムラインでアドバイザリを発表しました。
このアドバイザリには、CVE-2023-34462を利用した攻撃をサイバーセキュリティ担当者が特定するのに役立つIOC(Indicators of Compromise:侵害指標)が記載されています。
CVE-2023-34362に対応したベンダーパッチ
ベンダーパッチは2023年5月31日にリリースされています。
保護の現状
FortiGuard Labsは、以下のアンチウイルスシグネチャを使用して、CVE-2023-34362のエクスプロイト後にインストールされると言われているWebシェルバックドアサンプルに対処します。
- JS/TiMove.A!tr.bdr
FortiGuard Labsは、CVE-2023-34362に対応した以下のIPSシグネチャをバージョン23.570でリリースしました。
- Progress.MOVEit.Transfer.Unrestricted.File.Upload
Webフィルタリングは、Progressが発表したセキュリティアドバイザリに記載されているネットワークIOCをブロックします。
FortiGuard Labsが提供するすべての保護機能の詳細については、アウトブレイクアラートのページをご覧ください。
利用可能な減災策
ベンダーのアドバイザリには、ベンダーパッチの適用前に利用できる減災策が記載されています。
結論
伝えられるところによると、CVE-2023-34362は、データの流出やその他の不正行為を目論むCl0pランサムウェアの脅威アクターによって、さまざまな組織を侵害するために悪用されています。CVE-2023-34362は世間の注目を集めていることから、FortiGuard Labsは他の脅威アクターもこの脆弱性を悪用し、新しいエクスプロイト攻撃が増加するとみています。そのため、MOVEit Transferユーザーの皆様には、早急にすべてのパッチを適用し、ベンダーが提供する減災策を実施することを強くお勧めします。
FortiGuard Labsは、今後も積極的に情勢を監視して新たな実用的インテリジェンスを収集し、防御に関する追加情報を入手でき次第お伝えしていきます。
IOC(Indicators of Compromise:侵害指標)
ファイルIOC
SHA2 |
マルウェア |
702421bcee1785d93271d311f0203da34cc936317e299575b06503945a6ea1e0 |
Webシェルバックドア |
929bf317a41b187cf17f6958c5364f9c5352003edca78a75ee33b43894876c62 |
Webシェルバックドア |
c77438e8657518221613fbce451c664a75f05beea2184a3ae67f30ea71d34f37 |
Webシェルバックドア |
93137272f3654d56b9ce63bec2e40dd816c82fb6bad9985bed477f17999a47db |
Webシェルバックドア |
bdd4fa8e97e5e6eaaac8d6178f1cf4c324b9c59fc276fd6b368e811b327ccf8b |
Webシェルバックドア |
d49cf23d83b2743c573ba383bf6f3c28da41ac5f745cde41ef8cd1344528c195 |
Webシェルバックドア |
348e435196dd795e1ec31169bd111c7ec964e5a6ab525a562b17f10de0ab031d |
Webシェルバックドア |
769f77aace5eed4717c7d3142989b53bd5bac9297a6e11b2c588c3989b397e6b |
Webシェルバックドア |
7c39499dd3b0b283b242f7b7996205a9b3cf8bd5c943ef6766992204d46ec5f1 |
Webシェルバックドア |
3a977446ed70b02864ef8cfa3135d8b134c93ef868a4cc0aa5d3c2a74545725b |
Webシェルバックドア |
b9a0baf82feb08e42fa6ca53e9ec379e79fbe8362a7dac6150eb39c2d33d94ad |
Webシェルバックドア |
4359aead416b1b2df8ad9e53c497806403a2253b7e13c03317fc08ad3b0b95bf |
Webシェルバックドア |
daaa102d82550f97642887514093c98ccd51735e025995c2cc14718330a856f4 |
Webシェルバックドア |
a1269294254e958e0e58fc0fe887ebbc4201d5c266557f09c3f37542bd6d53d7 |
Webシェルバックドア |
f0d85b65b9f6942c75271209138ab24a73da29a06bc6cc4faeddcb825058c09d |
Webシェルバックドア |
ea433739fb708f5d25c937925e499c8d2228bf245653ee89a6f3d26a5fd00b7a |
Webシェルバックドア |
cf23ea0d63b4c4c348865cefd70c35727ea8c82ba86d56635e488d816e60ea45 |
Webシェルバックドア |
5b566de1aa4b2f79f579cdac6283b33e98fdc8c1cfa6211a787f8156848d67ff |
Webシェルバックドア |
0ea05169d111415903a1098110c34cdbbd390c23016cd4e179dd9ef507104495 |
Webシェルバックドア |
387cee566aedbafa8c114ed1c6b98d8b9b65e9f178cf2f6ae2f5ac441082747a |
Webシェルバックドア |
3ab73ea9aebf271e5f3ed701286701d0be688bf7ad4fb276cb4fbe35c8af8409 |
Webシェルバックドア |
c56bcb513248885673645ff1df44d3661a75cfacdce485535da898aa9ba320d4 |
Webシェルバックドア |
fe5f8388ccea7c548d587d1e2843921c038a9f4ddad3cb03f3aa8a45c29c6a2f |
Webシェルバックドア |
9d1723777de67bc7e11678db800d2a32de3bcd6c40a629cd165e3f7bbace8ead |
Webシェルバックドア |
9e89d9f045664996067a05610ea2b0ad4f7f502f73d84321fb07861348fdc24a |
Webシェルバックドア |
b1c299a9fe6076f370178de7b808f36135df16c4e438ef6453a39565ff2ec272 |
Webシェルバックドア |
6015fed13c5510bbb89b0a5302c8b95a5b811982ff6de9930725c4630ec4011d |
Webシェルバックドア |
48367d94ccb4411f15d7ef9c455c92125f3ad812f2363c4d2e949ce1b615429a |
Webシェルバックドア |
2413b5d0750c23b07999ec33a5b4930be224b661aaf290a0118db803f31acbc5 |
Webシェルバックドア |
e8012a15b6f6b404a33f293205b602ece486d01337b8b3ec331cd99ccadb562e |
Webシェルバックドア |
d477ec94e522b8d741f46b2c00291da05c72d21c359244ccb1c211c12b635899 |
Webシェルバックドア |
3c0dbda8a5500367c22ca224919bfc87d725d890756222c8066933286f26494c |
Webシェルバックドア |
詳しくは、フォーティネットのFortiGuard Labs脅威リサーチ / インテリジェンス部門、およびFortiGuardセキュリティサブスクリプション / サービスのポートフォリオを参照してください。
