「サイバー犯罪者に攻撃手段を提供した」 WS_FTPの開発元がPoCを公開した第三者を批判：Cybersecurity Dive

ビジネス向けFTPサーバ「WS_FTP」に対する複数のサイバー攻撃が実行された。悪用された脆弱性は2つで、CVSSスコアは10点満点中10点と9.9点と致命的なものだ。

[Matt Kapko，Cybersecurity Dive]

　セキュリティ企業Rapid7の調査によると（注1）、Progress Softwareが提供するビジネス向けFTPサーバ「WS_FTP」に対する複数のサイバー攻撃が2023年9月30日（現地時間、以下同）に発生した。

　現在「MOVEit Transfer」の脆弱（ぜいじゃく）性対応によって苦境に立たされているこの企業が、WS_FTPで見つかった8つの脆弱性のうち2つが「重大」であることを顧客に警告した3日後に、この攻撃は起こった（注2）。

「サイバー犯罪者に攻撃手段を提供した」　PoCを公開した第三者に苦言

　Rapid7で脆弱性に関するリサーチを担当するシニアマネジャーのケイトリン・コンドン氏は「私たちのチームは脆弱性が悪用されているのを実際の環境で確認した。2023年9月30日の夕方に少数のインシデントを観測して以来、新たな活動は見られていない」と話す。

　Rapid7の調査によると、今回見つかった不正プログラムは8つの脆弱性のうち「CVE-2023-40044」と「CVE-2023-42657」を利用するものであり（注3）（注4）、それぞれのCVSSスコアは10点満点中10点と9.9点と致命的なものだ（注5）。

　「データの流出は確認されておらず、全てのインシデントは現時点で収束したようだ」とコンドン氏は述べた。

　Progress Softwareはこの調査結果を認識しているが、アクティブな不正プログラムやサイバー攻撃を独自に確認できたかどうかについては明言しなかった。同社の広報担当者は脆弱性の開示と、パッチをリバースエンジニアリングしたPoC（概念実証）を発表した無名の第三者を批判した。Rapid7によると、CVE-2023-40044に対するPoCの悪用コードは2023年9月30日の夕方の時点で公開されていた。

　「多くの顧客がまだパッチを適用している最中に、この脆弱性を悪用するための道筋を攻撃者に提供することになった。リリース前にこれらの脆弱性が悪用されていたという証拠は確認していない。残念ながら、私たちのパッチがリリースされた直後にPoCを公開することで、第三者は攻撃を試みるツールをサイバー犯罪者に提供してしまった」（Progress Software広報担当者）

　別のファイル転送サービスであるMOVEit Transferのゼロデイ脆弱性を公開してパッチを適用した3カ月後に（注6）、Progress SoftwareはWS_FTPサーバの脆弱性を公表した。

　2100以上の組織に影響を与えたサプライチェーンへの侵害があったにもかかわらず、同社はMOVEit Transferのゼロデイ脆弱性をClopが大量に悪用したことによるビジネスへの影響を最小限に抑えている（注7）。

　Progressの広報担当者は「顧客のセキュリティは私たちの最優先事項であり、顧客および責任ある第三者の研究専門家と連携して問題を発見し、適切に開示し、解決するための取り組みを続ける」とコメントしている。

（注1）Critical Vulnerabilities in WS_FTP Server（RAPID7）
（注2）Progress Software discloses 8 vulnerabilities in one of its other file-transfer services（Cybersecurity Dive）
（注3）CVE-2023-40044 Detail（NIST）
（注4）CVE-2023-42657 Detail（NIST）
（注5）Critical Vulnerabilities in WS_FTP Server（RAPID7）
（注6）MOVEit mass exploit timeline: How the file-transfer service attacks entangled victims（Cybersecurity Dive）
（注7）Progress Software says business impact ‘minimal’ from MOVEit attack spree（Cybersecurity Dive）

原文へのリンク