ファイル転送サービスの「MOVEit Transfer」の欠陥が判明し直後に悪用を試みた痕跡が確認される

SFTPやおよびHTTPプロトコルを使用してファイル転送を行う企業向けサービス「MOVEit Transfer」にセキュリティ上の欠陥が見つかった上、ベンダーが脆弱(ぜいじゃく)性を報告したわずか1日後に悪用の試みが行われたことが明らかになりました。

MOVEit Gateway Critical Security Alert Bulletin – June 2024 – (CVE-2024-5805) - Progress Community
https://community.progress.com/s/article/MOVEit-Gateway-Critical-Security-Alert-Bulletin-June-2024-CVE-2024-5805

Article Detail
https://community.progress.com/s/article/MOVEit-Transfer-Product-Security-Alert-Bulletin-June-2024-CVE-2024-5806

Hackers target new MOVEit Transfer critical auth bypass bug
https://www.bleepingcomputer.com/news/security/hackers-target-new-moveit-transfer-critical-auth-bypass-bug/

新しい MOVEit 転送の脆弱性に対する悪用の試みが記録されています - できるだけ早くパッチを適用してください!
https://thehackernews.com/2024/06/new-moveit-transfer-vulnerability-under.html

MOVEit Transferを提供するProgress Softwareの報告によると、MOVEit TransferのSFTPモジュールに不適切な認証の脆弱性があり、認証のバイパスが行われる可能性があるとのこと。CVE-2024-5806という識別子が割り当てられたこの脆弱性を悪用した場合、MOVEit Transferサーバーに保存されている機密データにアクセスしたり、ファイルを操作したりできる可能性があることが指摘されています。

また、MOVEit Transferのために設計されたプロキシサービス「MOVEit Gateway」にも認証バイパスの脆弱性が見つかっており、こちらはCVE-2024-5805が割り当てられています。

脅威監視プラットフォームのShadowserver Foundationが報告したところによると、ベンダーの報告直後に悪用の試みが行われていたとのこと。

脆弱性を詳しく分析したセキュリティ企業のwatchTowrは、「攻撃者はユーザーパスワードをマスクした暗号ハッシュを入手することができ、SSHの公開鍵パスを操作して、悪意のあるSMBサーバーと有効なユーザー名を使った強制認証を実行できます。MOVEitの主目的がファイル転送であるため、脆弱なサーバーに公開鍵をアップロードするという行為は攻撃者にとって特に高いハードルではありません」と指摘しました。

本件に関する修正パッチは2024年6月11日配布済みです。Progress Softwareは「これらの脆弱性が実際に悪用されたという報告は受けておらず、顧客への直接的な影響については認識していない」と述べました。

なお、MOVEit Transferは2023年にソニーなど数百社に影響する脆弱性を突かれています。

ソニーがセキュリティ侵害で約6800人分の従業員データが流出したことを認める - GIGAZINE