セキュリティ
ベンダーは不正アクセスの証拠はないとしているが、顧客に対して考えられる中でも最も踏み込んだ予防措置の一つを講じるよう求めている
Progress Softwareは、法人向けファイル共有プラットフォーム「ShareFile」のオンプレミス構成要素を標的とした「信頼性の高い外部からのセキュリティ脅威」を検知したとして、一部のShareFile顧客に対して自社サーバーの電源を落とすよう指示しました。
電子メールで送付され、The Registerが確認したこの緊急警告では、ShareFile Storage Zone Controllersを運用している組織に対し、同ソフトウェアをホストしているWindowsサーバーを手動でシャットダウンするという異例の対応を取るよう求めています。現時点でパッチや設定による回避策は発表されていません。
Progressは「Progress SoftwareのShareFile Storage Zone Controllersを標的とした、信頼性の高い外部からのセキュリティ脅威が存在すると考える根拠がある」とし、Storage Zone Controllersを利用したShareFileアカウントへのアクセスは既に無効化済みだとしながらも、これだけでは十分ではないと警告しました。
「至急対応が必要です:Storage Zone Controllersをホストしているサーバーを手動でシャットダウンしてください」と、メールには続けて記されていました。「これは、お客様のデータの安全性を確保するために不可欠な追加措置です」
同社は、この制限措置について、内部および外部のセキュリティ専門家と協力しながら脅威の調査を進める中で「万全を期すため」に講じたものだと説明しています。顧客からは、Progressが電話でも直接連絡を取り、この呼びかけを念押ししていたとの報告が寄せられています。
週末に発表された続報でも、詳細はほとんど明らかにされませんでした。Progressは「ShareFileの顧客アカウントやデータへの不正アクセスを示す兆候は確認されておらず、現時点で活動中の脅威も特定されていない」としながらも、クラウドサービスが段階的に復旧される中でも、Storage Zone Controllersについてはオフラインの状態を維持するよう顧客に求めています。
これほど大掛かりな対応を取るに至った正確な理由は、依然として明らかになっていません。Progressは脅威の性質、顧客が実際に侵害を受けたかどうか、影響を受けるソフトウェアのバージョン、そして管理者が安全にシステムの電源を再び入れられるようになる時期についても公表していません。
同社はThe Registerの質問に対して回答しませんでした。
この情報の欠如が、憶測を呼んでいます。Reddit上であるProgressの顧客は、ベンダーが顧客に対してサーバーを完全にシャットダウンするよう求めているのであれば、「未認証のRCE(リモートコード実行)が実際に悪用されている可能性がほぼ間違いなく高い」と推測しています。
Storage Zone Controllersは、ShareFileのオンプレミス構成要素であり、組織がファイルを自社のインフラ上に保持しながら、認証や管理についてはProgressのクラウドプラットフォームを引き続き利用できるようにするものです。多くの場合、インターネットに公開されたWindowsサーバー上で稼働しているため、深刻でリモートから悪用可能な脆弱性が見つかれば、格好の標的となり得ます。
今回の事案は、Progressが「ShareFile Storage Zone Controller」v5に存在した、連鎖的に悪用すれば未認証のリモートコード実行につながりかねない2件の重大な脆弱性を修正してから、わずか数か月後に発生しています。もっとも、同社は今回の事案とこれらの脆弱性との関連については言及していません。
Progressにとって、セキュリティ上の危機はこれが初めてではありません。同社は2023年から2024年にかけて、ランサムウェア集団Clopによる「MOVEit Transfer」ソフトウェアの大規模悪用の対応に追われました。この事件は、過去最大級のサプライチェーン侵害の一つへと発展しました。
今回Progressが何を発見したにせよ、同社は顧客にとってサーバーを稼働させたままにしておくよりも、電源を落としておく方が安全だと判断したことになります。®