CVE-2023-34362 検出: 脅威アクターによる組織からのデータ盗難に活発に利用されるMOVEit Transferの重大なゼロデイ脆弱性

GitLabソフトウェアにおける最大の深刻度の欠陥として知られる CVE-2023-2825の直後に、サイバー脅威の景観で大きな話題を呼ぶ別の重大な脆弱性が登場します。2023年6月の初めに、Progress SoftwareはMOVEit Transferにおける特権昇格につながる重大な脆弱性を発見し、緩和措置と修正活動をカバーするセキュリティアドバイザリを即座に発行しました。CISAは、脆弱性の悪用のリスクが高まったことに対応し、最近、関連警告を発表し、組織にこの脅威に注意し、サイバーセキュリティの姿勢をリスク最適化するよう促しています。

更新: 2023年6月2日以来、MOVEit Transferの欠陥はCVE-2023-34362として追跡され、 CISAの既知の悪用された脆弱性カタログ に追加されましたが、CVSSスコアはまだ提供されていません。

MOVEit TransferアプリケーションにおけるCVE-2023-34362ゼロデイの悪用を検出する

新しい週、新たなゼロデイがサイバー防御者にとって大きな脅威となります。MOVEit Transferのゼロデイの悪用がシステムに重大なダメージを与えるのを防ぐために、SOC Primeの脅威ハンティングエンジニアチームがリリースした以下のSigmaルールセットを利用してください。

MOVEit Transferの可能性のある悪用インジケーター [MOVEit Transfer 0Day] (ファイルイベント経由)

MOVEit Transferの可能性のある悪用試行 [MOVEit Transfer 0Day] (プロセス作成経由)

疑わしいApp_Web動的ライブラリ作成試行 [MOVEit Transfer 0Day] (ファイルイベント経由)

MOVEit Transferの可能性のある悪用試行 [MOVEit Transfer 0Day] (ウェブサーバー経由)

また、コンテンツ検索を簡素化するために、サイバーセキュリティの専門家は“MOVEit”タグを適用して、SOC Primeの Sigma Rules Search Engine または Threat Detection Marketplace 内で関連するすべての検出を探索できます。

CVE-2023-34362のすべての検出アルゴリズムは、25以上のSIEM、EDR、XDR、BDP形式に対応しており、 MITRE ATT&CKフレームワーク v12に準拠し、初期アクセスと防御回避戦術に対応する技術として公開されているアプリケーションの悪用 (T1190) と擬装 (T1036) を扱っています。

をクリックすることで 検出を探索 ボタン、組織は流行している脆弱性の悪用に関連する悪意のある行動を特定するためのさらなる検出アルゴリズムに即時アクセスできます。

検出を探索

MOVEit Transferの重大な脆弱性分析

2023年5月の最終日に、Progress Softwareは セキュリティ通知 を発表し、新たに明らかになったMOVEit Transferの脆弱性CVE-2023-34362に光を当てました。この脆弱性により、攻撃者は侵害されたシステムへの不正アクセスを得て、データ盗難攻撃に繋がります。 CVE-2023-34362, which allows adversaries to gain unauthorized access to compromised systems and leads to data theft attacks.

MOVEit Transferの脆弱性悪用の試行に関するリスクの増大を即座に警告するために、Progress Softwareはこの SQLインジェクション 欠陥の詳細を提供しています。ベンダーのアドバイザリーによると、すべてのソフトウェアバージョンが影響を受ける可能性があり、サイバー防御者には即時の対応が必要です。

脆弱性の成功した悪用の場合に企業環境での感染をタイムリーに特定するために、 CISA はProgress Softwareによって発行された緩和策に従うよう組織に促しています。これには潜在的に侵害された環境へのすべての HTTP/HTTPSトラフィックを無効にし、許可されていないファイルを削除し、ユーザー資格情報をリセットし、即座にパッチを適用し、潜在的な脅威のためにインフラストラクチャを継続的に監視し、サイバー衛生を向上させるために業界のベストプラクティスに従うことが含まれます。

GreyNoise は、2023年3月初旬にさかのぼるMOVEit Transferログインページのスキャン活動を明らかにしました。特定された活動を分析することにより、サイバーセキュリティ研究者は5つのIPが悪意のあるものとマーキングされる可能性があることを発見し、これは潜在的に脆弱性の悪用の試みに関連する可能性のある以前の攻撃者活動を示しています。

悪用に焦点を当てた Redditスレッドに基づき、攻撃者は human2.aspxというバックドアを利用し、影響を受けたMOVEit環境内のフォルダ、ファイル、およびユーザーのリストを完全に入手し、ターゲットシステムから任意のファイルをダウンロードし、資格情報のバイパス活動を行って機密データを盗むおそれがあり、感染をさらに広げることができます。

関連するIOCを即座にハントするためにを探る Uncoder AI を使用すると、セキュリティエンジニアはファイル、ホスト、またはネットワークの侵害指標を自動的にカスタムIOCクエリに変換し、選択されたSIEMまたはEDR環境で実行できるようになります。それだけではありません。このツールはすべての検出エンジニアと脅威ハンタ－にとっての究極のソリューションとして機能し、脅威調査、オートコンプリートによるルールコーディング、検証、コンテンツ翻訳など、1か所での日々のアドホック操作を合理化します。