ProgressがShareFileゼロデイ脆弱性を確認、Storage Zoneシャットダウンの原因と判明

Progress Softwareは、先週発生したShareFile Storage Zone Controllerの緊急シャットダウンの背景に、深刻度の高いゼロデイ脆弱性があったことを確認し、この欠陥を修正するセキュリティアップデートをリリースしました。

先週、Progressは「信頼性の高い外部からのセキュリティ脅威」の警告を受けたことを受け、ShareFile Storage Zone Controllerを利用する顧客に対し、Windowsサーバーを直ちにシャットダウンするよう強く呼びかけていました。

当時、同社はサイバーセキュリティの専門家とともにインシデントの調査を進める間、Storage Zone Controllerを利用するすべてのShareFileアカウントへのアクセスを一時的に無効化していました。

本日顧客に送付されたアップデートによると、Progressの調査により、ShareFile Storage Zone Controllerのバージョン5.x系および6.x系すべてに影響する深刻度の高いパストラバーサル脆弱性が特定されたとのことです。

BleepingComputerが確認したメールには、「認証済みの管理ユーザーは、アプリケーションのサービスアカウントがアクセス可能な任意のファイルを読み取ったり、脅威アクターが用意したコンテンツを任意のディレクトリに書き込んだり、サーバーのファイルシステム構成を列挙したりすることが可能です」と記載されています。

Progressによると、この脆弱性についてはすでにCVE識別子が予約されており、2週間後に公開される予定です。

同社はShareFile Storage Zone Controllerのバージョン5.12.5および6.0.2をリリース済みで、すべての顧客に対しできるだけ早くこのセキュリティアップデートを適用するよう強く求めています。アップデートの適用後は、Storage Zone Controllerを再びオンラインに戻すことができます。

Progressは、ShareFileの顧客を標的とした潜在的な脅威に関して「信頼できる情報源からの情報」を受け取っていましたが、現時点では顧客が侵害された兆候はないとしています。

Progressは「現在のところ、ShareFile顧客アカウントやデータへの不正アクセスの痕跡は確認されておらず、実際に活動中の脅威も特定されていません」と述べています。

Storage Zone Controllerは顧客が自ら管理するWindowsサーバーであり、認証・権限管理・監査・コラボレーションについてはShareFileのクラウドプラットフォームを引き続き利用しつつ、ファイル自体はオンプレミスに保持できる仕組みです。

Storage Zone Controllerにはシステムを通じて転送されたファイルが保存されているため、データ窃取型の攻撃を行う恐喝集団にとって格好の標的となっています。

BleepingComputerはProgressに対し、この脆弱性が社内で発見されたのか外部の研究者によって発見されたのか、なぜCVEの公開が2週間遅らされているのか、さらなる技術的詳細が公開される予定はあるのかについて質問を投げかけています。

回答が得られ次第、本記事を更新します。

攻撃者より先に、すべての層をテストする

セキュリティチームが検知できているのは、成功した攻撃のわずか54%にとどまり、アラートが上がるのはたった14%です。残りは検知されないまま環境内を移動しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMやEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を紹介しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/progress-confirms-sharefile-zero-day-flaw-behind-storage-zone-shutdown/

ソース: bleepingcomputer.com