危険なファイル転送ソフト再び 攻撃されるとどうなる

ファイル転送ソフトを狙ったサイバー攻撃では2023年に起きた「MOVEit」に対するものが有名だ。今回、新たに別のソフトに対する攻撃が起こった。

[David Jones，Cybersecurity Dive]

　取引先とファイルをやりとりする際にファイル転送ソフトを使うことがある。業務に関する重要な情報や個人情報が含まれたファイルを転送することもあるだろう。

　これを狙った攻撃が起こった。どのような危険性があるのだろうか。

危険なファイル転送ソフト再び

　今回の攻撃は2段階で起きたため、最初の攻撃に対応できた時点で問題は終わったと考えられていた。だが、そうではなかった。何が起きたのだろうか。

　危険な脆弱（ぜいじゃく）性が見つかったのはCleoのファイル転送ソフトだ。「Cleo Harmony」と「VLTrader」「LexiCom」に影響がある。

　Cleoがパッチを公開してから2日後にCVE（共通脆弱性識別子）として「CVE-2024-55956」が割り当てられた（注1）。

　脆弱性の内容は認証されていないユーザーがホストシステムで任意のbashまたはPowerShellのコマンドをインポートして実行できるというものだ。この脆弱性は、Cleo HarmonyとVLTrader、Lexicomのバージョン5.8.0.24より前のバージョンに影響を及ぼす。

　Cleoのファイル転送ソフトに脆弱性があることは以前から分かっており、その脆弱性は「CVE-2024-50623」として登録されている（注2）。この脆弱性はファイルのアップロードとダウンロードが無制限で可能になるものだ。Cleoはこの脆弱性に対してパッチを提供済みだが、欠点があった。これを突き止めたのはHuntressの研究者だ。その後、今回のCVE-2024-55956が見つかったという経緯がある。

　脆弱性が発見された後にパッチが提供されて、それで問題が終わるわけではない。さまざまな理由からパッチの適用率はなかなか100％にならないからだ。

　セキュリティ研究者によると、今回の脆弱性は少なくとも2024年12月3日（現地時間）から積極的に攻撃者によって悪用されている。消費財業界と食品業界、小売業界、運送業界をはじめとするさまざまな業種の企業が標的にされた。

Cleoの対応はどこがまずかったのか

　セキュリティコミュニティーはCVEの割り当ての遅れや、最も危険な脆弱性がどれなのかをはっきりさせなかった点で、Cleoを批判している（注3）。

　サイバーセキュリティ事業を営むRapid7で脆弱性インテリジェンスを担当するケイトリン・コンドン氏（ディレクター）は、次のように述べた。

　「共通識別子のCVE番号が定まると、ユーザー組織やサイバーセキュリティ関連の広範なコミュニティーはリスクをより効果的に追跡し、優先順位を付けられるようになる。同様に、脆弱性の詳細情報はセキュリティ問題の根本原因や、組織の特定のリスクモデル内での潜在的な影響を理解するのに役立つ」

　コンドン氏は、2024年10月に公開されたCVEと2024年12月の初めに公開されたゼロデイ脆弱性の違いについて、一部で混乱が生じたと指摘した。

　脆弱性評価を専門とするVulnCheckのパトリック・ギャリティ氏（セキュリティ研究者）は次のように述べた。

　「多くの組織は、固有の脆弱性や影響を受けるソフトウェアを把握するためにCVE番号を利用している」

　Rapid7の研究者は2024年12月16日に投稿したブログ記事で「最近公開された脆弱性『CVE-2024-55956』は、パッチを回避した脆弱性ではなく、異なる根本原因と悪用戦略を持つ全く新しい脆弱性だ」と述べた（注4）。

　コンドン氏は「Cybersecurity Dive」に対して次のように語った。

　「言い換えると、以前の『CVE-2024-50623』と同様にCleoの製品で起こり、同じエンドポイントを利用しているにもかかわらず、攻撃のワークフローは異なる影響を持つ、新しく見つかった脆弱性は単にパッチを回避するものだというのではない。新たなゼロデイ脆弱性だ」

　Rapid7のスティーブン・フューア氏（主任セキュリティ研究者）は「Cleoが公開した侵害の指標に基づいて、以前見つかった『CVE-2024-50623』はサーバサイドテンプレートインジェクションを通じてリモートコードを実行するために悪用された」と述べた。

　「この戦略には認証情報が必要だったとわれわれは考えており、攻撃者は発見済みの『CVE-2024-50623』を利用して認証情報を取得できたはずだ。なぜなら、これはファイルの読み書きに関する脆弱性だからだ」（フューア氏）

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2024年12月13日に「CVE-2024-50623」を脆弱性カタログKEV（Known Exploited Vulnerabilities）に追加し（注5）、ランサムウェア攻撃で悪用されていることを指摘した。

　担当者によると、CISAはこの脅威の活動を監視しており、Cleoの顧客に対してシステムの積極的な更新を促したという（注6）。また、同機関は顧客に対して、サポートが終了していたり、ライフサイクルが終了していたりするソフトウェアやハードウェアを積極的に追跡し、必要に応じてそれらを交換するようにも促している。

　サイバーセキュリティに関する研究に注力するThe Shadowserver Foundationは、「CVE-2024-50623」に関連する脆弱なインスタンスが930件存在し（注7）、そのうち約720件が米国で露出していることを2024年12月15日に報告した。

　ファイル転送ソフトでは2023年に起きた「MOVEit Transfer」の脆弱性が広範囲に悪影響を与えた。

　そのMOVEit Transferに対して繰り返し続いた攻撃に関与しており（注8）、経済的な動機を有する脅威グループ「Clop」は、データリークサイトを通じて謎めいた声明を発表し、全ての企業のデータリンクを削除し、全てのサーバからデータを永遠に削除することを伝えた。

　Huntressの研究者たちは、その主張がClopのデータリークサイトを通じて公開されたものだということを確認した。

出典：Cleo releases CVE for actively exploited flaw in file-transfer software（Cybersecurity Dive）
注1：CVE-2024-55956 Detail（NIST）
注2：CVE-2024-50623 Detail（NIST）
注3：Security community raises concern as Cleo file-transfer CVE delayed（Cybersecurity Dive）
注4：CVE-2024-55956（AttackerKB, A Rapid7 Project）
注5：CISA Adds One Known Exploited Vulnerability to Catalog（CISA）
注6：Understanding Patches and Software Updates（CISA）
注7：Time series（The Shadowserver Foundation）
注8：Progress discloses more MOVEit CVEs, one year after 2023’s fiasco（Cybersecurity Dive）

原文へのリンク