Trusted Design

解説:

CVE-2023-0669について、以下の観点から解説します。

1. 脆弱性の概要

Fortra（旧HelpSystems）のファイル転送管理ソリューション「GoAnywhere MFT」のライセンスレスポンスサーブレットに存在する、認証前コマンドインジェクションの脆弱性です。 この脆弱性は、攻撃者が制御可能なオブジェクトを逆シリアル化する、信頼できないデータのデシリアライズに起因します。

1.1 影響

本脆弱性が悪用されると、攻撃者は脆弱なGoAnywhere MFTインスタンス上で認証なしにリモートから任意のコードを実行できます。 これにより、機密性、完全性、可用性のすべてに高い影響を及ぼす可能性があります。 具体的には、機密データの窃取、データの改ざん、システムの破壊などにつながるおそれがあります。 実際に、Clopランサムウェアグループがこの脆弱性を悪用し、130以上の組織からデータを窃取したと主張しています。

1.2 深刻度

CVSS v3.1のスコアは7.2で、「高」に分類されます。 * 攻撃元区分 (Attack Vector): ネットワーク (N) * 攻撃条件の複雑さ (Attack Complexity): 低 (L) * 必要な特権レベル (Privileges Required): 高 (H)（ただし、認証なしに悪用可能） * ユーザー関与レベル (User Interaction): 不要 (N) * スコープ (Scope): 変更なし (U) * 機密性への影響 (Confidentiality Impact): 高 (H) * 完全性への影響 (Integrity Impact): 高 (H) * 可用性への影響 (Availability Impact): 高 (H)

2. 対象となる環境

2.1 影響を受けるOSバージョン

GoAnywhere MFT バージョン7.1.1およびそれ以前のバージョンが影響を受けます。 具体的には、バージョン7.1.2未満の全てのバージョンが影響対象です。 Windows版およびLinux版のGoAnywhere MFTが影響を受けると報告されています。

2.2 影響を受ける設定

特に、管理コンソールがインターネットに公開されているGoAnywhere MFTのインスタンスが悪用のリスクが高まります。

3. 影響を受けた時の兆候

この脆弱性はリモートコード実行につながるため、以下のような兆候が考えられます。 * GoAnywhere MFTのログ（userdata/logs）に異常なアクティビティや特定の文字列が出現する可能性があります。 * システムパフォーマンスの低下。 * ファイルシステム上に予期せぬファイルやディレクトリが作成・変更される。 * 異常なネットワークトラフィックが発生する。 * Clopランサムウェアグループによるデータ窃取が確認されているため、GoAnywhere MFTサーバーに保存されている文書の窃取や、ランサムウェア感染の兆候が見られる可能性があります。

4. 推奨対策

4.1 本対策

Fortra GoAnywhere MFTをバージョン7.1.2以降にアップデートしてください。 ベンダーの指示に従って速やかに更新を適用することが強く推奨されています。

4.2 暫定回避策（緩和策）

• 管理コンソールがインターネットに公開されている場合は、迅速にパッチをインストールすることが推奨されています。
• GoAnywhere MFTが提供する緩和策設定を適用する。具体的には、GoAnywhere MFTアプリケーション内のLicense Response Servletに関するservletおよびservlet-mapping設定を削除またはコメントアウトし、その後GoAnywhere MFTアプリケーションを再起動してください。
• ファイアウォールなどのネットワークアクセス制御を導入し、GoAnywhere MFTの管理インターフェースへの不正アクセスを制限してください。
• パッチの適用がすぐにできない場合は、userdata/logsログに特定の文字列が出現するかを確認し、システムが影響を受けていないか判断すること、およびその他のセキュリティ対策を講じることが推奨されています。

他に解説すべき観点

• ゼロデイ攻撃としての悪用: この脆弱性は、Fortraがパッチをリリースする前に既に悪用が確認されたゼロデイ脆弱性でした。
• ランサムウェアグループによる悪用: 特にClopランサムウェアグループがこの脆弱性を積極的に悪用し、大規模なデータ窃取やランサムウェア攻撃の初期侵入経路として利用しました。

参照したサイト

• CVE-2023-0669: How to Fix Fortra GoAnywhere MFT Vulnerability - SentinelOne
• CVE-2023-0669 | セキュリティNOW! サイバーセキュリティ情報ポータルサイト - SMS DataTech
• CVE-2023-0669 Detail - NVD
• ファイル転送製品「GoAnywhere MFT」に脆弱性 - すでに悪用が発生 - Security NEXT
• 2024 年 ランサムウェア振り返り: Unit 42 によるリーク サイト分析
• 今知っておくべきサイバーセキュリティの脅威実態 ～ランサムウェアとランサムウェア以外の
• Summary of the Investigation Related to CVE-2023-0669 | Fortra
• Forta GoAnywhere Zero-Day CVE-2023-0669 Exploited - Qualys Blog
• CVE-2023-0669 - CVE Record
• Unauthenticated RCE in Goanywhere - vsociety - Vicarius
• 2023年最严重的10起0Day漏洞攻击事件 - CSDN博客
• CVE-2023-0669: Fortra GoAnywhere MFT RCE Vulnerability - SentinelOne
• Clopランサムウェア、 GoAnywhereのゼロデイを使い130組織を侵害したと主張（CVE-2023-0669） | Codebook｜Security News
• 严重Goanywhere MFT lic/accept 远程代码执行漏洞（CVE-2023-0669） - 阿里云漏洞库
• Clop勒索软件声称使用GoAnywhere 零日漏洞破坏了130个组织
• GoAnywhere MFT CVE-2023-0669 LicenseResponseServlet Deserialization Vulnerabilities Python RCE PoC(Proof of Concept) - GitHub
• GoAnywhere MFT CVE-2023-0669 LicenseResponseServlet Deserialization Vulnerabilities Python RCE PoC(Proof of Concept) - GitHub
• CVE-2023-0669 GoAnywhereMFT反序列化漏洞复现-安全KER - 安全资讯平台
• GoAnywhere MFT のゼロデイ脆弱性を悪用：130社からのデータ窃取を Clop が主張
• Ransomware Roundup：Cl0p | FortiGuard Labs - Fortinet