Cleoのファイル転送システムに対する新たなゼロデイ攻撃が拡大
主要な事実:
- 発生時期:2024年12月3日から攻撃開始
- 影響を受けるソフトウェア:
- Cleo Harmony
- Cleo VLTrader
- Cleo LexiCon
攻撃の経過:
- 12月3日:最初の攻撃確認
- 12月9日:Huntress社が脆弱性の継続的な悪用を報告
- 12月10日:Cleo社が新しいセキュリティアドバイザリーを発行
- 12月11日:Watchtowr Labs社が実証コードを公開
被害状況:
- 被害企業数:少なくとも10社(運送、配送、食品業界)
- Cleo社の総顧客数:4,000以上(主に中規模組織)
攻撃グループ:
- 「Termite」グループによる犯行
- 過去にBlue Yonder社経由でStarbucksなどの企業を攻撃した実績あり
技術的詳細:
- 脆弱性:CVE-2024-50623の不完全な修正に起因
- 攻撃手法:リモートコード実行(RCE)
- 使用マルウェア:「Cleopatra」と呼ばれるJavaベースのバックドア
- C2通信:複数のIPアドレスを使用、スキャンは2つのIPアドレスから実行
対応状況:
- 10月30日:バージョン5.8.0.21でパッチ提供(不完全な修正)
- 12月10日:バージョン5.8.0.24で新たなパッチ提供
- 新たな脆弱性のCVE番号は現在申請中
from:Cleo MFT Zero-Day Exploits Are About Escalate, Analysts Warn
【編集部解説】
まず、この事案の重要性を理解するために、マネージドファイル転送(MFT)ソフトウェアの役割について説明しましょう。
MFTは、企業間で大量のデータを安全に転送するために使用される重要なツールです。Cleoの製品は、小売、物流、食品業界など、多くの重要なセクターで広く利用されています。
今回の脆弱性は、CVE-2024-50623として知られる以前の脆弱性の不完全な修正から生じました。これは、セキュリティパッチの複雑さと、完全な修正の難しさを示しています。企業のITセキュリティチームにとって、パッチ管理の重要性を再認識させる事例と言えるでしょう。
特に注目すべきは、この脆弱性が「ゼロデイ」として分類されている点です。これは、脆弱性が公になる前に攻撃者によって悪用され始めたことを意味します。このような状況は、企業のセキュリティチームに迅速な対応を求めるものです。
攻撃の手法も興味深いものがあります。攻撃者は、Cleoソフトウェアの正規の機能を悪用して、マルウェアを実行しています。これは、正規の機能と悪意のある使用の境界線が曖昧になりつつある現代のサイバー攻撃の特徴を示しています。
この事案が示す重要な教訓の一つは、インターネットに直接接続されたシステムの危険性です。セキュリティ専門家は、ファイアウォールの使用やVPN経由のアクセスなど、追加の保護層を設けることを推奨しています。これは、「防御の深さ」という重要なセキュリティ原則を実践する良い例です。
また、この事案は、サプライチェーンセキュリティの重要性も浮き彫りにしています。Cleoの製品は多くの企業で使用されているため、一つの脆弱性が広範囲に影響を及ぼす可能性があります。これは、企業が自社のセキュリティだけでなく、取引先や使用しているソフトウェアのセキュリティにも注意を払う必要があることを示しています。
最後に、この事案は、セキュリティ研究者とソフトウェアベンダーの協力の重要性を示しています。Huntressのような研究者が脆弱性を発見し、Cleoが迅速に対応することで、被害を最小限に抑えることができます。
今後も、企業はセキュリティアップデートを迅速に適用し、システムの監視を強化することが重要です。また、ファイル転送などの重要な機能を持つソフトウェアの選択と管理には、特に注意を払う必要があるでしょう。