ファイル転送サービスは格好の標的であり、ownCloudの脆弱性は、重要なファイル転送サービスに対する一連のサイバー攻撃における最新の例だ。
この記事は会員限定です。会員登録すると全てご覧いただけます。
研究者によると、サイバー攻撃者はオープンソースソフトウェア(OSS)のファイル転送サービス「ownCloud」の重大な脆弱(ぜいじゃく)性を悪用しており、管理者パスワードやメールサーバの認証情報、ライセンスキーなどの機密データが漏えいする可能性があるという。
ownCloudは「CVE-2023-49103」と指定されたこの脆弱性を2023年11月21日(現地時間、以下同)に公開した(注1)。共通脆弱性評価システム(CVSS)における評価は、10点満点中10点である。
同社の広報担当者は2023年12月1日に、電子メールの中で次のように述べた。
「この脆弱性は同年9月中旬に外部の研究者によって発見され、同年9月19日にパッチが適用され、同年9月20日に顧客に通知された。脆弱性が公開される前に当社はセキュリティギャップを解消し、ソフトウェアをアップデートし、システムの安全を確保する方法を顧客にアドバイスしていた。そのため、私たちの知る限り、影響を受けた顧客はいない。現時点で悪用は確認されていない」
GreynoiseとSANS Internet Storm Centerのデータによると(注2)(注3)、研究者たちはownCloudの主張と反対の意見を持っており、「サイバー攻撃者はownCloudのインスタンスを2023年11月25日に悪用しはじめ、これらの試みは同年12月1日に観察された」と指摘しているという。セキュリティ組織であるShadowserver Foundationによると(注4)、同年11月27日の時点で1万1000以上のownCloudのインスタンスがインターネットに公開されている。
今回の標的型攻撃は、ファイル転送サービスに対する集中的かつ持続的な攻撃に続くものだ(注5)。Progress Softwareの「MOVEit Transfer」(注6)、Fortraの「GoAnywhere」(注7)、IBMの「Aspera Faspex」は(注8)、2023年3月から3カ月間にわたってサプライチェーン攻撃を受けた。
ownCloudの脆弱性は、PHP環境の構成を公開し、「Graph API」のアプリに影響を与える。このベンダーは、重要な認証を回避する脆弱性と(注9)、サブドメインの検証を回避する脆弱性を含む2つの脆弱性を追加で公開した(注10)。
この3つの脆弱性は、Kiteworksがドイツを拠点とするownCloudと、企業向けファイル共有サービス「Dracoon」との合併に関する合意を発表したのと同じ日に公開された(注11)。
カリフォルニアに本社を置くKiteworksは「3800以上のグローバル企業や政府機関が同社のコンテンツセキュリティおよびコンプライアンスプラットフォームを使用している」と述べた。今回の合併によって(注12)、同社は欧州のドイツ語圏で新たな市場と顧客基盤を獲得することになる。
「ownCloudのGraph APIの致命的な脆弱性は、機密性の高い設定の公開につながる。サイバー攻撃者は、システムに関する情報を収集するために、この設定を悪用する可能性がある」とownCloudは述べた。
「Graph APIのアプリを無効にしても脆弱性は解消されない。ユーザーは管理者パスワードやアクセスキー、管理者認証情報、メールサーバ認証情報を変更し、リスクを軽減する必要がある。コンテナ内のphpinfoの機能を無効にし、今後のリリースで他の修正を適用する予定だ」(ownCloudの担当者)
欧州投資銀行(EIB)や欧州委員会、Wind River、欧州原子核研究機構(CERN)、ポルトガル銀行、フォーチュン500にリストアップされた複数の企業など、600以上の企業や組織がownCloudを利用している。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、2023年11月27日に、脆弱性に関する内容を週次でまとめた情報を発表し(注13)、そこにownCloudの3つの脆弱性を追加した。
(注1)CVE-2023-49103 Detail(NIST)
(注2)GREYNOISE TRENDS(GREYNOISE)
(注3)Scans for ownCloud Vulnerability (CVE-2023-49103)(SANS)
(注4)Shadowserver(X)
(注5)File-transfer services, rich with sensitive data, are under attack(Cybersecurity Dive)
(注6)Progress Software says business impact ‘minimal’ from MOVEit attack spree(Cybersecurity Dive)
(注7)Clop ransomware group triggers new attack spree, hitting household brands(Cybersecurity Dive)
(注8)IBM file transfer service under active exploit, security researchers warn(Cybersecurity Dive)
(注9)WebDAV Api Authentication Bypass using Pre-Signed URLs(ownCloud)
(注10)Subdomain Validation Bypass(ownCloud)
(注11)KITEWORKS MAKES BOLD MOVES JOINING FORCES WITH TWO GERMAN LEADERS IN ITS SPACE(Kiteworks)
(注12)ownCloud becomes part of Kiteworks(ownCloud)
(注13)Vulnerability Summary for the Week of November 20, 2023(CISA)
© Industry Dive. All rights reserved.