GoAnywhere MFT ゼロデイ脆弱性: 知っておくべきこと

2月1日、Fortraの研究者は、GoAnywhere MFTソフトウェアにおけるゼロデイのリモートコードインジェクションの脆弱性について顧客に警告しました。GoAnywhere MFTのゼロデイ脆弱性は、VPNやAWSやAzureのようなIPベースのクラウドサービスを経由せずにインターネットに直接接続する管理者コンソールを露出させます。

GoAnywhere MFTとは何ですか？

GoAnywhere MFTは、組織がファイル転送プロセスを自動化し、効率化するのを支援するセキュアなファイル転送およびデータ暗号化ソリューションです。ユーザーはファイルを安全に転送し、ワークフローを自動化し、データを保存中または転送中に暗号化することができます。

GoAnywhere MFTは、FTP、SFTP、HTTPS、AS2などのさまざまなプロトコルをサポートし、ファイルトリガー、ジョブスケジューリング、詳細な監査ログなどの機能を提供します。オンプレミス、クラウド、またはハイブリッドソリューションとして展開可能で、GDPR、HIPAA、PCI DSSなどのデータプライバシー規制に準拠するのを支援します。

GoAnywhere MFTゼロデイの概要

ゼロデイのリモートコード実行（RCE）脆弱性（CVE-2023-0669）は、セキュリティレポーターのBrian Krebsによって最初に公開され、Mastodonにコピーが投稿されました。GoAnywhere MFTのゼロデイ脆弱性は、攻撃者がシステムに認証されていないバックドアを作成し、システムからファイルをアップロード、削除、変更、または抽出することを可能にします。このブログ投稿の執筆時点では、脆弱性に対するCVSS（共通脆弱性評価システム）スコアはまだ割り当てられていません。

リモートコードインジェクションの欠陥とは何ですか？

リモートコードインジェクションの欠陥は、攻撃者がリモートソースからアプリケーションに悪意のあるコードを注入できるセキュリティ脆弱性の一種です。参入障壁が低く、大規模な被害をもたらす可能性があるため、魅力的な攻撃ベクトルです。悪意のあるコードは、データの窃取、権限の昇格、システムの侵害などの悪意のある活動を実行するために使用されます。リモートコードインジェクションの欠陥は、アプリケーションの作成時におけるコーディングエラーや不十分な入力検証から生じます。安全でないコーディングプラクティスにより、悪意のある行為者はアプリケーションを悪用する新しい方法を見つけ続けることができます。

リモートコードインジェクションの欠陥を利用する攻撃者は、ファジングやコードレビューなどのさまざまな手法を用いて、コーディングエラーや不十分な入力検証を特定し、悪用します。ファジングは、潜在的な脆弱性を特定するために大量のランダムデータを入力に送信することを含みます。コードレビューは、アプリケーションのソースコードを分析して潜在的な欠陥を特定することを含みます。攻撃者は、弱点を特定するために自動化ツールやスキャナーを使用することもできます。

GoAnywhere MFTゼロデイに対するFortraのセキュリティアドバイザリー

管理コンソールや管理インターフェースは、理想的にはインターネットに露出しないようにするべきです。Krebsの投稿に応じて、セキュリティ専門家のKevin Beaumontは、Shodanスキャンを実施して、どれだけのGoAnywhere MFTインスタンスが露出しているかを確認し、主に米国で1,008台のサーバーが見つかりました。しかし、同時にBleepingComputerは、8000および8001ポートが露出しているのは151台のみであることを確認しました。

Fortraからのアドバイザリーは、「GoAnywhere MFTにおいてゼロデイのリモートコードインジェクションのエクスプロイトが特定されました」と題されています。Fortraの開発者は、「このエクスプロイトの攻撃ベクトルは、アプリケーションの管理コンソールへのアクセスを必要とし、ほとんどの場合、プライベート企業ネットワーク内、VPN経由、または許可されたIPアドレス（AzureやAWSなどのクラウド環境で実行されている場合）からのみアクセス可能です」と述べています。

パッチが利用可能になるまで、FortraはGoAnywhere MFTの顧客管理者に以下の緩和策を適用することを推奨しています：

1. GoAnywhere MFTがインストールされているファイルシステムで、ファイル「[install_dire]/adminroot/WEB_INF/web.xml」を編集します。
2. 以下のサーブレットおよびサーブレットマッピングの設定を見つけて削除（またはコメントアウト）します。
3. GoAnywhere MFTアプリケーションを再起動します。

持続的標的型攻撃の緩和

脅威行為者がGoAnywhere MFTゼロデイのような持続的標的型攻撃を使用して攻撃を加速し、痕跡を隠し、侵入したシステムへのアクセスを拡大する中、GoAnywhere MFTの顧客はすべての管理ユーザーアカウントを確認し、疑わしいものがないか確認する必要があります。これらの活動には、1）認識されていないユーザー名、2）「作成者」詳細が「システム」と表示される、3）アカウント作成のタイミングが疑わしい、4）管理監査ログに存在しないまたは無効なスーパーユーザーがアカウントを作成していることが含まれます。攻撃者は追加の管理アカウントを作成することで、GoAnywhere MFTサプライチェーン内のエンド顧客に対する持続性を拡大することができます。

GoAnywhere MFTゼロデイの影響を受けた顧客への4つの推奨事項

GoAnywhere MFTの顧客がGoAnywhere MFTゼロデイの後にどのように進めるかを評価する際、私は4つの推奨事項を持っています：

1. 迅速にパッチを適用する：GoAnywhere MFTゼロデイ脆弱性に対するパッチが利用可能になったら、GoAnywhere MFTの顧客は迅速にそれを実装するべきです。
2. Fortraの指示に従う：ゼロデイ脆弱性の場合、顧客はベンダーの指示に従うことが重要です。上記の議論を参照し、必要なアクションをできるだけ早く実行してください。
3. 明確なコミュニケーションチャネルを確立する：組織内のすべての関連当事者をGoAnywhere MFTチームとのコミュニケーションのために指定し、彼らの名前、連絡先情報、責任を把握していることを確認してください。
4. ベストプラクティスに従う：ソフトウェアベンダーのベストプラクティスと自社のセキュリティベストプラクティスの両方に従ってください。GoAnywhere MFTゼロデイの場合、Fortraは顧客にVPNまたはIP対応のクラウドサービスを通じて管理コンソールにアクセスし、すべての管理ユーザーを確認し、「システム」によって作成された特に認識されていないユーザー名を監視するようにアドバイスしました。

インシデント対応の教訓とセキュリティ強化

他の企業のリーダーと共に、私は約2年前にAccellionのレガシーファイル転送アプライアンス（FTA）のゼロデイ脆弱性に対する対応の最前線に立っていました。インシデント対応中にMandiantと密接に協力し、迅速に行動し、効果的な緩和策を実施するソフトウェアベンダーを持つことが重要であることを発見しました。GoAnywhere MFTゼロデイの影響を受けたGoAnywhere MFTの顧客は、多くのサイバー攻撃が持続的であるため、自社のセキュリティベストプラクティスとFortraが推奨するものの両方に従い、追加の脆弱性を防ぐ必要があることを忘れないでください。

FTAの侵害にもかかわらず、Kiteworksプライベートコンテンツネットワーク（PCN）への移行により、90%以上の顧客を維持することができました。これは、インシデントを慎重かつ勤勉に処理することで、企業の結果に違いをもたらすことができることを示しています。今日、Kiteworks PCNは、仮想強化アプライアンスと多層防御のセキュリティアプローチを備えた、最も安全なプラットフォームの一つとして広く認識されており、FY22で最も強力な成長を遂げました。