Progress、ShareFile Storage Zone Controllerを狙った脅威について警告

eSecurity Planet のコンテンツおよび製品に関する推奨事項は、編集上の独立性を保っています。読者が当社パートナーへのリンクをクリックした場合、当社が収益を得ることがあります。 詳細はこちら

Progress Softwareは、ShareFile Storage Zone Controllerを導入している顧客に対し、信頼性の高い外部からのセキュリティ脅威を確認したとして、Windowsサーバーを直ちにシャットダウンするよう強く求めています。

同社は、この脅威の詳細な性質や、ゼロデイ脆弱性が関与しているかどうか、また本記事公開時点で顧客環境が実際に侵害されているかどうかについて公表していません。 

「業界としては、こうした事態を過去にも何度も目にしてきました。ファイル転送ソリューションは組織の最も機密性の高いデータを保持し、重要なビジネスプロセスの中核に位置しています」と、watchTowrの創業者兼CEOであるBenjamin Harris氏はeSecurityPlanetへのメールで述べています。

同氏はさらに、「こうしたソリューションが繰り返し攻撃の標的となるのも、何ら不思議なことではありません」と付け加えています。

要点まとめ

  • Progressは、信頼性の高い外部からのセキュリティ脅威を受け、ShareFile Storage Zone Controllerを利用している顧客に対し、影響を受けるWindowsサーバーを直ちにシャットダウンするよう指示しました。
  • 同社は脅威の詳細な性質を公表しておらず、顧客環境が実際に侵害されているかどうかについても確認していません。
  • ShareFile Storage Zone Controllerは、ShareFileのクラウドプラットフォームと顧客管理下のオンプレミスストレージを接続するインターネット公開型のコンポーネントであり、攻撃者にとって魅力的な標的となっています。
  • Progressによれば、現時点でShareFileアカウントや顧客データへの不正アクセスを示す兆候は確認されておらず、調査は現在も継続中です。
  • 組織は封じ込めとフォレンジック証拠の保全を優先し、侵害の痕跡を調査したうえで、検証済みの復旧ガイダンスが提供されるまで影響を受けたシステムの復旧を待つべきです。

ShareFileは、組織がビジネスデータを安全に保存・共有・管理できるようにする企業向けファイル共有・コラボレーションプラットフォームです。 

多くの顧客がクラウドホスト型のサービスを利用していますが、一部の顧客はWindowsサーバー上にShareFile Storage Zone Controllerを導入し、認証・ユーザー管理・コラボレーションにはShareFileを利用しながら、ファイル自体はオンプレミスに保持しています。 

こうしたハイブリッド構成では、Storage Zone ControllerがShareFileのクラウドサービスと顧客管理下のストレージとの間を仲介する役割を担います。 

ユーザーがファイルをアップロードまたはダウンロードする際、コントローラーがそのリクエストを処理し、組織のローカルストレージ環境と認可されたユーザーとの間でデータを転送します。 

コントローラーが侵害された場合、機密性の高いビジネスデータへの経路となったり、接続された他のシステムへの侵入口として悪用されたりする恐れがあります。 

これらのサーバーは通常、内部のストレージリソースへの接続を維持しつつインターネットからもアクセス可能であるため、組織の外部攻撃対象領域における重要な構成要素となっており、脅威アクターにとって魅力的な標的となっています。 

ProgressによるShareFileセキュリティ脅威への対応状況 

Progressによると、現時点でShareFileアカウントや顧客データへの不正アクセスを示す兆候は確認されていません。

予防措置として、同社はこれらのコントローラーを利用しているShareFileアカウントへのアクセスを一時的に無効化し、管理者に対して影響を受けるすべてのWindowsサーバーを手動でシャットダウンするよう指示しました。

Progressは、クラウドアクセスを無効化するだけでは顧客環境を保護するのに十分ではないと述べています。

同社は社内外のサイバーセキュリティ専門家とともに調査を継続しており、新たな情報が判明次第、顧客に追加のガイダンスを提供するとしています。

それまでの間、Storage Zone Controllerを利用している組織は、フォレンジック証拠を保全し、侵害の痕跡がないか接続システムを監視するとともに、Progressが追加の復旧ガイダンスを公開するまで影響を受けたサーバーの復旧を控えるべきです。

ShareFileセキュリティ脅威によるリスクを低減するために組織ができること 

Progressが追加の技術的詳細を提供するまでの間、組織は侵害が発生している前提に立ち、封じ込め、可視性の確保、フォレンジック証拠の保全を優先すべきです。 

  • ShareFile Storage Zone Controllerの電源を落とし、Progressが検証済みの復旧ガイダンスを公開し、サービス復旧が安全であると確認するまで、システムをオフラインの状態に保ってください。
  • コントローラーが完全に隔離されていることを確認し、すべてのインバウンドのインターネットアクセスを遮断し、東西方向(内部間)のネットワーク通信を制限したうえで、露出した代替経路が残っていないかを確認してください。
  • システムを変更する前にフォレンジック証跡を取得し、Windowsイベントログ、EDR/XDRのテレメトリ、認証記録、(可能であれば)メモリ、およびネットワークログをインシデント分析のために保全してください。
  • 影響を受けたサーバー全体を対象に的を絞った脅威ハンティングを実施し、異常な認証イベント、新規の管理者アカウント、スケジュールタスク、永続化の仕組み、不審なPowerShellのアクティビティ、想定外のアウトバウンド通信がないか確認してください。
  • 調査範囲をコントローラー以外にも拡大し、Active Directory、サービスアカウント、接続されたストレージプラットフォーム、ID基盤について、認証情報の悪用や横展開の痕跡がないか確認してください。
  • 復旧に向けた準備状況を検証し、オフラインバックアップの整合性を確認するとともに、侵害が確認された場合に備えて特権アカウント、サービス認証情報、APIキー、認証シークレットのローテーションを準備してください。
  • インシデント対応計画をテストし、本番システムを復旧させる前に、封じ込め、フォレンジック情報の収集、経営層への報告、復旧手順、意思決定プロセスが適切に機能することを確認してください。

これらの対策は、全体的なリスクを低減し、万が一侵害が発生した場合でも回復力を維持するうえで役立ちます。

まとめ

今回のインシデントは、インターネットに公開されたインフラに対する可視性を維持し、ハイブリッド環境における顧客管理コンポーネントについて明確に定義された対応手順を整備しておくことの重要性を改めて示すものです。 

Progressが追加のガイダンスを公開するまでの間、セキュリティチームは封じ込めを維持し、侵害の痕跡を調査したうえで、Storage Zone Controllerを本番環境に復旧させる前に復旧策の検証を行うべきです。 

また、今回のインシデントは、インターネットに公開されたシステムやハイブリッド環境全体のリスクを抑えるうえでゼロトラストアーキテクチャがいかに有用であるかを浮き彫りにしています。 

Ken Underhill

Ken Underhillは、IT、サイバーセキュリティ、リスクマネジメントの分野で25年以上のキャリアを持つ、受賞歴のあるサイバーセキュリティ専門家、ベストセラー作家、テクノロジーリーダーです。彼のキャリアはネットワーク管理、インシデント対応、侵入テスト、起業と多岐にわたり、組織のリスク低減とコンプライアンス確保を支援してきた豊富な実務経験を持っています。Kenは元看護師・戦闘医療兵でもあり、その経歴を活かして複雑なサイバーセキュリティのトピックを、世界中の幅広い読者にも理解しやすい形で解説しています。
複数の企業をイグジットさせた実績を持つサイバーセキュリティ起業家として、Kenは数十年にわたり組織のセキュリティ態勢強化、リスク管理、複雑なテクノロジー課題への対応を支援してきました。専門分野は、全体的なサイバーセキュリティ戦略、クラウドセキュリティ、インシデント対応、リスク管理、セキュリティ意識向上、そして企業に影響を及ぼす新興の脅威など多岐にわたります。KenはまたAIセキュリティおよびリスクに関して複数のスタートアップのアドバイザーも務めています。
現場での実務経験に加え、KenはTechnologyAdvice社のサイバーセキュリティ関連ニュースレターの執筆者としても活動し、サイバーセキュリティのニュースやトレンド、そしてビジネスおよびIT専門家向けの実践的なベストプラクティスを取り上げています。Kenは教育者としても活躍しており、これまでに200万人以上が彼のコースを受講してきました。Global Cybersecurity 40 under 40(2度受賞)、Women’s Society of CyberjutsuによるCyber Champion賞、そして2019年のSC Media Outstanding Educator賞を受賞しています。また、Minorities in Cybersecurity、Black Girls Hack、退役軍人のセキュリティ分野へのキャリア移行を支援するWhole Cyber Human Initiativeといった団体のボランティアとしても活動しています。
Kenは、Western Governors Universityでサイバーセキュリティおよび情報保証の理学修士号を取得し、Strayer Universityでサイバーセキュリティマネジメントを専攻した情報システムの理学士号を取得しています。保有資格には、Certificate of Cloud Security Knowledge(CCSK)、Certified Ethical Hacker(CEH)、Computer Hacking Forensic Investigator(CHFI)があり、デジタルフォレンジックの非常勤講師を務めた経験もあります。Kenはまた、2020年から2022年にかけてサイバーセキュリティ関連のストリーミングテレビ番組を持ち、世界中で月間20万人以上の視聴者を獲得していました。
彼の活動や専門性は、Forbes、Reader’s Digest、Medium、TechRepublic、Fox、NBC、CBS、Dark Reading、MSN Moneyをはじめとする主要メディアで取り上げられており、サイバーセキュリティ、選挙セキュリティ、プライバシーに関する信頼できる論客として広く認知されています。

翻訳元: https://www.esecurityplanet.com/threats/progress-warns-of-sharefile-storage-zone-controller-threat/

ソース: esecurityplanet.com