またファイル転送サービスに脆弱性 GoAnywhereの約800のインスタンスがパッチ未適用：Cybersecurity Dive

ファイル転送管理ソリューション「GoAnywhere MFT」に脆弱性が見つかり、約800のインスタンスにパッチが未適用であることが判明した。

[Matt Kapko，Cybersecurity Dive]

　非営利のセキュリティ組織The Shadowserver Foundationが2024年1月24日（現地時間、以下同）に公表したデータによると（注1）、ファイル転送管理ソリューション「GoAnywhere MFT」の約800のインスタンスにパッチが適用されておらず（注2）、2024年1月22日の週に初めて公表された重大な脆弱（ぜいじゃく）性が存在する可能性があるという。

　The Shadowserver Foundationによると、このファイル転送サービスの多くのインスタンスにはパッチが適用されていなかった。しかし、サイバー攻撃者が認証を回避する脆弱性「CVE-2024-0204」を悪用するには（注4）、管理パネルへのリモートアクセスが必要となるため、実際に脆弱性を悪用される危険性があるのは30件未満だという（注3）。

悪用は未確認でも油断はできない　脆弱性のCVSSスコアは9.8

　GoAnywhere MFTを提供しているFortaは2024年12月7日に、この脆弱性に対するパッチをリリースしていたが、共通脆弱性評価システム（CVSS）スコア9.8に分類されるこの脆弱性は2024年1月22日の週まで公表されていなかった。

　GoAnywhere MFTは3000以上の組織で使用されているが（注5）、このファイル転送サービスの最新の脆弱性の積極的な悪用や広範な露出はまだ確認されていない。

　2023年にGoAnywhere MFTを含む複数のファイル転送サービスが広く標的にされたため、この重大な脆弱性はすぐに脅威ハンターや防御者の注目を集めた。GoAnywhere MFTのゼロデイ脆弱性は、2023年の初めにランサムウェアグループ「Clop」によって広く悪用された（注6）。

　サイバーセキュリティ事業を営むCensysが2024年1月24日に観察したところによると、公開されたGoAnywhere MFTの管理用インタフェースを保有するホストは約170件だったが、脆弱性を悪用される可能性があるホストの数は不明だ。

　Censysのセキュリティ研究者であるヒマジャ・モザラム氏は、ブログ記事で「これは私たちが遭遇した最も広範囲な露出ではないものの、これらのインスタンスに保存されているデータの性質には懸念が生じる。ホスト数の少なさは、一度の侵害で起こる損害の大きさを物語っているためだ」と述べた（注7）。

　Censysによると、デフォルトのポート設定で実行されているGoAnywhere MFTの管理用インタフェースの大半は、米国でホストされている。これらの公開されているインスタンスの5台に3台以上は、AmazonやMicrosoft、Googleが運営するクラウドネットワークでホストされている。

　モザラム氏は「パッチが適用されていないGoAnywhere MFTのインスタンスに対するスキャンと侵害の増加が予想される。直ちにパッチを適用する必要がある」と話した。

（注1）General statistics Tree map（SHADOW SERVER）
（注2）GoAnywhere MFT customers confront yet another critical file-transfer CVE（Cybersecurity Dive）
（注3）General statistics Tree map（SHADOW SERVER）
（注4）CVE-2024-0204 Detail（NIST）
（注5）About Fortra's GoAnywhere（GoAnywhere）
（注6）Clop ransomware group triggers new attack spree, hitting household brands（Cybersecurity Dive）
（注7）GoAnywhere MFT vulnerabilities are Going Nowhere for Now（censys）

原文へのリンク