またファイル転送サービスに脆弱性 GoAnywhereの約800のインスタンスがパッチ未適用:Cybersecurity Dive
ファイル転送管理ソリューション「GoAnywhere MFT」に脆弱性が見つかり、約800のインスタンスにパッチが未適用であることが判明した。
非営利のセキュリティ組織The Shadowserver Foundationが2024年1月24日(現地時間、以下同)に公表したデータによると(注1)、ファイル転送管理ソリューション「GoAnywhere MFT」の約800のインスタンスにパッチが適用されておらず(注2)、2024年1月22日の週に初めて公表された重大な脆弱(ぜいじゃく)性が存在する可能性があるという。
The Shadowserver Foundationによると、このファイル転送サービスの多くのインスタンスにはパッチが適用されていなかった。しかし、サイバー攻撃者が認証を回避する脆弱性「CVE-2024-0204」を悪用するには(注4)、管理パネルへのリモートアクセスが必要となるため、実際に脆弱性を悪用される危険性があるのは30件未満だという(注3)。
悪用は未確認でも油断はできない 脆弱性のCVSSスコアは9.8
GoAnywhere MFTを提供しているFortaは2024年12月7日に、この脆弱性に対するパッチをリリースしていたが、共通脆弱性評価システム(CVSS)スコア9.8に分類されるこの脆弱性は2024年1月22日の週まで公表されていなかった。
GoAnywhere MFTは3000以上の組織で使用されているが(注5)、このファイル転送サービスの最新の脆弱性の積極的な悪用や広範な露出はまだ確認されていない。
2023年にGoAnywhere MFTを含む複数のファイル転送サービスが広く標的にされたため、この重大な脆弱性はすぐに脅威ハンターや防御者の注目を集めた。GoAnywhere MFTのゼロデイ脆弱性は、2023年の初めにランサムウェアグループ「Clop」によって広く悪用された(注6)。
サイバーセキュリティ事業を営むCensysが2024年1月24日に観察したところによると、公開されたGoAnywhere MFTの管理用インタフェースを保有するホストは約170件だったが、脆弱性を悪用される可能性があるホストの数は不明だ。
Censysのセキュリティ研究者であるヒマジャ・モザラム氏は、ブログ記事で「これは私たちが遭遇した最も広範囲な露出ではないものの、これらのインスタンスに保存されているデータの性質には懸念が生じる。ホスト数の少なさは、一度の侵害で起こる損害の大きさを物語っているためだ」と述べた(注7)。
Censysによると、デフォルトのポート設定で実行されているGoAnywhere MFTの管理用インタフェースの大半は、米国でホストされている。これらの公開されているインスタンスの5台に3台以上は、AmazonやMicrosoft、Googleが運営するクラウドネットワークでホストされている。
モザラム氏は「パッチが適用されていないGoAnywhere MFTのインスタンスに対するスキャンと侵害の増加が予想される。直ちにパッチを適用する必要がある」と話した。
(注1)General statistics Tree map(SHADOW SERVER)
(注2)GoAnywhere MFT customers confront yet another critical file-transfer CVE(Cybersecurity Dive)
(注3)General statistics Tree map(SHADOW SERVER)
(注4)CVE-2024-0204 Detail(NIST)
(注5)About Fortra's GoAnywhere(GoAnywhere)
(注6)Clop ransomware group triggers new attack spree, hitting household brands(Cybersecurity Dive)
(注7)GoAnywhere MFT vulnerabilities are Going Nowhere for Now(censys)
関連記事
- ファイル転送サービスはなぜサイバー攻撃の標的になるのか?
2023年には、ファイル転送サービスに起因する、何千もの企業およびその顧客に混乱をもたらしたサプライチェーン攻撃が3件も発生した。これらのツールはなぜ狙われるのだろうか。 - なぜMOVEitからファンは離れなかったのか? 見切りを付けられるベンダーの特徴
2023年、Progressが提供するファイル転送サービス「MOVEit」にゼロデイ脆弱性が見つかり、これに関連した多くのサイバー攻撃が発生した。しかし同社の顧客維持率は安定したままだ。一体なぜだろうか。 - 「セキュリティ人材が足りない……」と嘆く前に 企業に必要なのは“懐の深さ”だ
セキュリティ人材の不足が世の中で叫ばれていますが、人材不足を嘆く前に自社が従業員の才能を伸ばせる環境かどうかを再考してみるといいかもしれません。 - 世界100カ国超の企業に聞いた「今年最大のリスク」ランキングとその背景
企業のビジネスリスクにおいて最大の懸念は何か。損害保険会社が発表した年次企業リスク調査から明らかになった。
© Industry Dive. All rights reserved.