CISA、シトリックス・シェアファイルの転送バグを発表

米国政府のサイバーセキュリティ機関であるCISAは最近、広く利用されている企業向けファイル転送ソフトウェア「Citrix ShareFile」で悪用されている脆弱性を指摘した。このバグにより、悪意のある主体は複数の攻撃経路から攻撃を仕掛け、容易に防止可能な手法で機密データを窃取することが可能となる。

CISA シトリックス・シェアファイル脆弱性

この脆弱性（CVE-2023-24489）は「連邦システムに対する深刻な脅威」と認定された。これを受け、CISAは自機関を含む全ての連邦行政機関に対し、ソフトウェアベンダーが提供する必要なパッチを適用する期限を2023年9月6日と設定した。

シトリックスによるこの脆弱性に関する警告は新たなものではない。同社は6月に既にこの欠陥について注意を喚起していた。このバグは、10段階中9.8という珍しいながらも重大な脆弱性深刻度スコアが付けられており、アクセス制御上の見落としと定義されている。この見落としにより、権限のない攻撃者がパスワードを必要とせずに、シトリックス・シェアファイルのストレージゾーンコントローラーを遠隔から侵害する可能性が生じる。

シトリックス・シェアファイルは主にクラウドベースのファイル転送ツールとして認知されていますが、「ストレージゾーンコントローラー」も備えています。このツールにより、組織はファイルを社内サーバーまたはAmazon S3やWindows Azureなどの互換性のあるクラウドプラットフォームに保存する機能を利用できます。

この脆弱性を発見したとされるアセットノートのディラン・ピンドゥア氏は、その原因がShareFileのAES暗号化実装における些細な誤りに起因すると指摘した。ピンドゥア氏の分析によれば、7月までに約6,000の組織が意図せず情報を公開状態に晒していた。同ソフトウェアは広く普及し機密データの保存に利用されているため、いかなる脆弱性も深刻なリスク事例につながる。

CISAによる脆弱性公表後、脅威インテリジェンス企業GreyNoiseは、この脆弱性を標的とした不審な活動の顕著な増加を確認した。現時点で、この脆弱性を悪用している犯人の身元は依然として不明である。

近年、企業向けファイル転送システムは、大量の機密データを扱う性質上、サイバー犯罪者の標的となってきた。今回の発表は、シトリックス・シェアファイルを利用する組織を支援する善意の行為であったものの、悪意ある組織に中核的な脆弱性を知らせる結果となった可能性がある。これが、最近増加している不審な活動の背景にある原因と考えられる。

特に、ロシアを拠点とするとされるClopランサムウェアグループは、複数の企業向けツールへの攻撃を自認している。これにはAccellionのMTA、FortraのGoAnywhere MFT、そして最近ではProgressのMOVEit Transferが含まれる。

サイバーセキュリティ企業Emsisoftが共有した最新データは懸念すべき状況を示している。MOVEitを標的とした攻撃は現在までに668の組織に影響を与え、4600万人以上が被害に遭った。さらに今週初めには、IBMへのサイバー攻撃に続き、MOVEitに関連するセキュリティ侵害により400万人以上のアメリカ人の医療・健康データが盗まれた。

Citrix ShareFileを利用する組織は、9月6日までにすべての関連ベンダーパッチを更新・適用する必要があります。パッチを適用していない組織は、悪意のある攻撃により機密データを失うリスクがあります。これは企業がクラウド環境で遭遇する最初の脆弱性でも最後の脆弱性でもありませんが、パッチを常に最新の状態に保ち、脆弱性を積極的に監視することで、保護されたデータを不正に取得しようとする侵入者を防ぐことができます。