2023年の大失敗から1年が経過 ProgressがMOVEit Transferの新たな脆弱性を公開：Cybersecurity Dive

2023年にMOVEitを襲った攻撃により、懸念が高まっている。Progress Softwareと研究者によると、現在のところ積極的な悪用の兆候は確認されていないが、攻撃の試みが進行中であることが分かっているという。

[Matt Kapko，Cybersecurity Dive]

　企業向けソフトウェアベンダーであるProgress Softwareは2024年6月23日（現地時間、以下同）に、ファイル転送サービス「MOVEit Transfer」の脆弱（ぜいじゃく）性である「CVE-2024-5806」の深刻度を示すスコアを7.4から9.1に引き上げた。

　Progress Softwareは勧告書を更新し（注1）、「MOVEit Transferで使用されているサードパーティー製のコンポーネントにおいて新たに確認された脆弱性により、パッチを適用せずに放置すると、上述の問題が発生するリスクが高まる」と述べた。

　また、同社は「Progressが2024年6月11日に配布したパッチは、CVE-2024-5806で特定された問題の修復に成功しているが、新たに公開されたサードパーティーの脆弱性は、別のリスクをもたらす」とも説明している。

MOVEitに見つかった新たな脆弱性の詳細とは？

　Progress Softwareは2024年6月23日に、MOVEit Transferに認証回避の脆弱性があることを公表した。同社は「Progress MOVEit Gateway」における「CVE-2024-5805（共通脆弱性評価システム《CVSS》のスコアは9.1）」と（注2）、Progress MOVEit Transferにおける「CVE-2024-5806（CVSSのスコアは9.1）」に関する勧告書を発行した（注3）。

　Progress Softwareは、2024年6月11日に顧客に通知し、脆弱性に対するパッチを提供した。同社のダニエル・サザービー氏（マーケティング・コミュニケーションマネジャー）は、同年6月23日に電子メールで「現在までに顧客からの積極的な悪用の報告や、顧客の運用に対する直接的な影響に関する報告は受けていない」と述べた。

　攻撃者は、認証回避の脆弱性を悪用して、機密性の高いデータにひそかにアクセスできる。セキュリティサービスを提供するCensysとRapid7の研究者は（注4）（注5）、顧客環境における悪用を確認していないが、「CVE-2024-5806」に関する概念実証のためのプログラムが公開されており、利用可能だと報告した。非営利団体The Shadowserver Foundationは、Progress Softwareが脆弱性を公表した直後に「悪用の試みを観測した」と述べた。

　この脆弱性は、ファイル転送サービスのゼロデイ脆弱性に関連した攻撃の乱発にMOVEit Transferの顧客が巻き込まれてから1年以上後に発生した。

新たな脆弱性の深刻度

　2023年末までに、ランサムウェアグループの「Clop」は2700以上の組織に侵入し（注6）、MOVEit Transferの環境で保持されていた9300万件以上の個人記録を流出させた。被害組織の5社に4社以上はProgress Softwareと関係がなかったにもかかわらず、サードパーティーベンダーを原因として被害を受けた。

　2023年における最も重大なサイバー攻撃は記憶に新しいところだが、研究者や脅威ハンターは、MOVEit Transferの顧客に対する新たな攻撃の可能性について、それほどの懸念を有していない。Censysは、2024年6月23日にMOVEit Transferに関連する公開された2700のインスタンスを観測した。

　ソフトウェア企業であるEmsisoftのブレット・カロウ氏（脅威アナリスト）は「これは深刻な脆弱性だが、悪用可能な状況が限定されていることから、2023年にClopによって悪用された脆弱性よりも深刻度はやや低いと思われる」と述べた。

　セキュリティ事業を営むwatchTowr Labsの研究者は、2024年6月23日にブログ投稿の中で「『CVE-2024-5806』を悪用するための手順は複雑だが、実現不可能なものではない」と述べた（注7）。

　WatchTowrの研究者たちはブログの中で「過去にMOVEit Transferは幾つかの単純な脆弱性に苦しんできたが、本問題は、強化されたソフトウェアに含まれるべきではない単純なエラーとは別物だ」とも述べている。

　Mandiant Intelligenceのジャレッド・セムラウ氏（脆弱性と悪用に関する業務を担当するシニアマネジャー）は、2024年6月23日に電子メールで「脆弱性を有するMOVEit Transferのインスタンスに関するアドレスと有効なユーザー名を持つ攻撃者にとって、攻撃の実行は容易だろう」と述べた。

　Progress Softwareが2024年6月23日に公開した追加の脆弱性は、認証回避の重大な脆弱性であり、MOVEit Gatewayに影響を与える。MOVEit Gatewayは、MOVEit Transferのインスタンスとの間でトラフィックを代行するように設計されたコンポーネントだ。

　Progress Softwareは2024年5月31日に終了した会計年度の第2四半期に関する業績を報告したのと同じ日に本脆弱性を公表した。決算説明会では、最新の脆弱性に関する言及はなかった。

　Progress Softwareのヨゲシュ・グプタ氏（社長兼CEO）は、2024年6月23日の電話会見で次のように述べた。

　「顧客のMOVEit Transfer環境への攻撃から1年が経過したが、ビジネスは堅調で、MOVEitの年間継続収益は成長し、顧客は私たちとの連携に満足している」

　Progress Softwareと研究者は、MOVEitの顧客に対し、パッチが適用されたバージョンの製品に早急にアップグレードするよう推奨している。

（注1）MOVEit Transfer Critical Security Alert Bulletin June 2024 (CVE-2024-5806)（Progress Community）
（注2）MOVEit Gateway Critical Security Alert Bulletin June 2024 (CVE-2024-5805)（Progress Community）
（注3）MOVEit Transfer Critical Security Alert Bulletin June 2024 (CVE-2024-5806)（Progress Community）
（注4）MOVEit Transfer: Auth bypass and a look at exposure（censys）
（注5）Authentication Bypasses in MOVEit Transfer and MOVEit Gateway（RAPID7）
（注6）Progress Software’s MOVEit meltdown: uncovering the fallout（Cybersecurity Dive）
（注7）Auth. Bypass In (Un)Limited Scenarios - Progress MOVEit Transfer (CVE-2024-5806)（Labs）

原文へのリンク