Progress、「信頼性の高い」脅威を受けShareFileの顧客にサーバー停止を要請

Progress Softwareは、Storage Zone Controllersを利用するShareFile顧客に対し、オンプレミス向けセキュアファイル共有ソフトウェアを標的とした「信頼性の高い外部セキュリティ脅威」を確認したとして、サーバーを直ちにシャットダウンするよう電子メールで呼びかけています。

ShareFileはProgress Softwareが提供する企業向けセキュアファイル共有・コラボレーションプラットフォームで、顧客はファイルをProgressのクラウドインフラ上にホストできます。

ただし、組織によってはStorage Zone Controllersをオンプレミスの Windows サーバーに導入し、ファイルを自社のストレージ内にローカルで保持したまま、認証やユーザー管理、共有、コラボレーションについてはShareFileのクラウドプラットフォームを引き続き利用するという選択も可能です。

こうしたハイブリッド構成では、ShareFileのクラウドがユーザーを認証し、そのユーザーのファイルがどのStorage Zoneに存在するかを判断します。ユーザーがファイルをアップロードまたはダウンロードすると、ShareFileはそのリクエストを組織のStorage Zone Controllerに転送し、Storage Zone Controllerが自社ストレージ上でファイルを取得または保存したうえで、ユーザーへ転送します。

Storage Zone Controllersはクラウドプラットフォームと顧客管理下のストレージとの間でファイル転送を処理するため、通常はインターネットからアクセス可能なサーバーとなっています。

BleepingComputerが確認した、昨夜顧客宛てに送信された警告メールには「サービス停止のお知らせ。早急な対応が必要です」というタイトルが付けられています。

メールには次のように記載されています。「Progress SoftwareのShareFile Storage Zone Controllersを標的とした、信頼性の高い外部セキュリティ脅威が存在すると考えられる根拠があります」

「現時点で、いずれのProgress ShareFileアカウントまたはデータへの不正アクセスを示す兆候は確認されていません。予防措置として、お客様のものを含め、Storage Zone Controllersを使用するShareFileアカウントへのアクセスを一時的に無効化しました」

Progressはさらに、Storage Zone Controllersをホストしている Windows サーバーを手動でシャットダウンするよう顧客に指示しており、ShareFileクラウドプラットフォーム側でアクセスを無効化するだけでは脅威を軽減するには不十分であることを示しています。

同社は顧客に対し、「Storage Zone Controllersをホストしているサーバーを手動でシャットダウンする必要があります。これはお客様のデータの安全を確保するための重要な追加対応です」と伝えています。

Progressによれば、社内外のサイバーセキュリティ専門家と協力して脅威の調査に当たる間、「万全を期すため」一時的な制限を実施したとのことで、24時間以内に顧客へさらなる続報を提供する予定だとしています。

現在、ShareFileのステータスページには「Storage Zone Controllersを利用しているShareFile顧客は、現時点でサービスが稼働していません」との警告が表示されています。

Image

Progressは、今回の脅威がゼロデイ脆弱性に関わるものかどうか、またいずれかのStorage Zone Controllersが侵害を受けたかどうかについては明らかにしていません。

今回の警告は、企業向けファイル転送・ファイル共有ソフトウェアを標的とした過去の攻撃と類似しています。

2023年には、Clopの恐喝集団がProgress MOVEit Transferのゼロデイ脆弱性を悪用し、数千の組織からデータを窃取したうえで、被害者に対する大規模な恐喝キャンペーンを展開しました。

それ以来、攻撃者はインターネットに公開された管理型ファイル転送・企業向けファイル共有プラットフォームを標的とし続けています。これらのプラットフォームがしばしば機微なデータを扱っているためです。

Progressの広報担当者は、BleepingComputerからサイバー脅威に関する追加情報を求められた際、顧客向けにメールで提供したものと同じ内容を伝えました。

攻撃者に先んじて、あらゆる層をテスト

セキュリティチームが記録できているのは、成功した攻撃のうちわずか54%に過ぎず、アラートが上がるのはたった14%です。残りは環境内を検知されないまま通過しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMやEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を紹介しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/progress-urges-sharefile-customers-to-shut-down-servers-over-credible-threat/

ソース: bleepingcomputer.com