Last Updated on 2024-10-01 07:24 by admin
【ダイジェスト】
ファイル転送ソフトウェア「GoAnywhere MFT」を使用している企業や組織にとって、緊急のセキュリティ対策が必要となっています。このソフトウェアに存在する重大な脆弱性が発見され、悪用される可能性があるためです。
この脆弱性は、Fortra社が提供するGoAnywhere MFTにおける認証バイパスの問題で、攻撃者が管理者権限を不正に取得することを可能にします。Fortra社はこの問題について昨年12月に顧客に対して注意を促していましたが、公には1月22日まで明らかにされていませんでした。この脆弱性はCVE-2024-0204として追跡され、リモートからの攻撃が可能で、深刻度は9.8と評価されています。
Horizon3というセキュリティ研究チームは、Fortra社の公開情報から手がかりを得て、攻撃者が認証なしで新しい管理者ユーザーを作成できる実証コードを開発しました。攻撃は、Tomcatベースのアプリケーションにおける古いパストラバーサルの弱点を利用しており、通常はアクセスが禁止されている管理者アカウント作成ページにアクセスすることを可能にします。
Fortra社はこの問題に対する声明を出していませんが、Horizon3のチーフアタックエンジニアであるZach Hanley氏は、GoAnywhere MFTの管理ポータルに新しい管理者ユーザーが追加されていることが侵害の明確な兆候であると述べています。また、データベースのログにはトランザクションの履歴が含まれており、そこから新しい管理者アカウントの作成の痕跡を見つけることができます。
影響を受けるGoAnywhere MFTのバージョンは、6.xの6.0.1以降と7.xの7.4.1以前です。攻撃を防ぐためには、少なくともバージョン7.4.1にアップグレードすることが推奨されます。ただし、すぐにパッチを適用できない場合は、Fortra社は非コンテナデプロイメントではInitialAccountSetup.xhtmlファイルを削除し、サービスを再起動することを提案しています。コンテナデプロイされたインスタンスの場合は、ファイルを空のものに置き換えてサービスを再起動することで問題を緩和できます。
インターネットトラフィック分析会社Greynoiseによると、現時点で悪用の試みは検出されていませんが、実証コードが公開されているため、近い将来に攻撃の試みが増加することは避けられないでしょう。Fortra社のソフトウェアは、政府機関やエネルギー企業などの重要なインフラ組織によって使用されており、成功した攻撃は重要なデータの盗難につながる可能性があります。
昨年、Fortra社はGoAnywhere MFTに関連するセキュリティ災害を経験しました。サイバー犯罪組織Clopがゼロデイを悪用して130社以上を恐喝し、その過程で多くの注目を集める被害者を出しました。この攻撃は、ランサムウェア犯罪者が身代金要求のみの攻撃に移行している傾向を示すものでした。
Fortra社は最新のインシデントを昨年12月4日に顧客に対して非公開で通知していましたが、これは昨年のClop事件の繰り返しを避けるためであり、攻撃者が実際の攻撃コードを手に入れる前に顧客がパッチを適用するための時間を与えることを意図していたと考えられます。ClopによるGoAnywhere MFTへの攻撃は、Fortra社がパッチをリリースする前日にオンラインで実証コードが公開された2023年1月に始まりました。Horizon3がFortra社が問題を公にする数時間後にそのエクスプロイトを公開したことを考えると、開示を控える決定は悪くなかったのかもしれません。
【ニュース解説】
ファイル転送ソフトウェア「GoAnywhere MFT」に重大なセキュリティ脆弱性が発見され、攻撃者が管理者権限を不正に取得する可能性があることが判明しました。この脆弱性は、Fortra社が提供するGoAnywhere MFTの特定のバージョンに存在し、CVE-2024-0204として識別されています。深刻度は9.8と非常に高く、リモートからの攻撃が可能です。
この問題は、Fortra社が顧客に対して昨年12月に非公開で通知していたもので、公には1月22日まで明らかにされていませんでした。セキュリティ研究チームHorizon3は、Fortra社の公開情報を基にして、攻撃者が認証なしで新しい管理者ユーザーを作成できる実証コードを開発しました。この攻撃は、Tomcatベースのアプリケーションにおけるパストラバーサルの弱点を利用しています。具体的には、攻撃者が特定のエンドポイントに対して「/../」のようなリクエストを送信することで、通常はアクセスが禁止されているページにアクセスできるというものです。
Fortra社はこの問題に対する声明を出していませんが、管理ポータルに新しい管理者ユーザーが追加されていることが侵害の兆候であると指摘されています。また、データベースのログには新しい管理者アカウントの作成履歴が残されるため、そこから侵害の痕跡を見つけることができます。
影響を受けるGoAnywhere MFTのバージョンは、6.xの6.0.1以降と7.xの7.4.1以前です。攻撃を防ぐためには、バージョン7.4.1以上にアップグレードすることが推奨されています。ただし、すぐにパッチを適用できない場合は、Fortra社は非コンテナデプロイメントではInitialAccountSetup.xhtmlファイルを削除し、サービスを再起動することを提案しています。コンテナデプロイされたインスタンスでは、ファイルを空のものに置き換えてサービスを再起動することで問題を緩和できます。
インターネットトラフィック分析会社Greynoiseによると、現時点で悪用の試みは検出されていませんが、実証コードが公開されているため、攻撃の試みが増加することは時間の問題です。Fortra社のソフトウェアは、政府機関やエネルギー企業などの重要なインフラ組織によって使用されており、成功した攻撃は重要なデータの盗難につながる可能性があります。
昨年、Fortra社はGoAnywhere MFTに関連するセキュリティ災害を経験しました。サイバー犯罪組織Clopがゼロデイを悪用して130社以上を恐喝し、その過程で多くの注目を集める被害者を出しました。この攻撃は、ランサムウェア犯罪者が身代金要求のみの攻撃に移行している傾向を示すものでした。
Fortra社は最新のインシデントを昨年12月4日に顧客に対して非公開で通知していましたが、これは昨年のClop事件の繰り返しを避けるためであり、攻撃者が実際の攻撃コードを手に入れる前に顧客がパッチを適用するための時間を与えることを意図していたと考えられます。ClopによるGoAnywhere MFTへの攻撃は、Fortra社がパッチをリリースする前日にオンラインで実証コードが公開された2023年1月に始まりました。Horizon3がFortra社が問題を公にする数時間後にそのエクスプロイトを公開したことを考えると、開示を控える決定は悪くなかったのかもしれません。
from Using GoAnywhere MFT for file transfers? Patch now – an exploit's out for a critical bug.