MDSec ActiveBreachレッドチームが実施した最近の敵対者シミュレーションにより、ArcServe UDP Backupソフトウェアにおける重大な脆弱性が明らかになった。
CVE-2023-26258として追跡されているこの欠陥は、同ソフトウェアのバージョン7.0から9.0に影響し、リモートコード実行(RCE)を可能にするため、バックアップ基盤として同ソフトウェアに依存する組織にとって重大なリスクとなる。
「バックアップシステムの安全性を確保する重要性はいくら強調してもしすぎることはない。バックアップシステムは、それが支える運用中の本番システムと同等、あるいはそれ以上に重要なものとして認識されるべきだ」と、Bugcrowdのセキュリティオペレーション担当シニアディレクターであるマイケル・スケルトン氏は述べた。
同セキュリティ専門家によれば、セキュリティ侵害が発生した場合、これらのバックアップシステムは破壊を目的として特に狙われる可能性があり、その結果、本番システムが使用不能になる恐れがある。
「この侵害状況により、あらゆる形のデータ復旧やシステム再構築が達成不可能になる可能性がある」とスケルトン氏は付け加えた。
これらの攻撃シナリオについて詳しく読む:ランサムウェア攻撃の93%でバックアップリポジトリが標的に
MDSecのシミュレーション中、セキュリティアナリストのフアン・マヌエル・フェルナンデス氏とショーン・ドハティ氏は、ソフトウェアの管理インターフェースへのアクセスを可能にする認証バイパスの欠陥を特定した。
特定のHTTPリクエストを傍受して改変することで、攻撃者はソフトウェアが攻撃者の管理下にあるHTTPサーバーへ接続するようリダイレクトでき、未承認のアクセスを得られた。
侵入後、レッドチームは管理者パスワードを含む機微情報を抽出するための追加の手法を発見した。この欠陥の悪用とそれに続くパスワード取得は、セキュリティパッチの必要性が極めて高いことを浮き彫りにした。
「データ保護ソリューションが適切に設計されているなら、最終的にバックアップは複数のアイデンティティソースによって保護される」と、Conversant Groupの最高技術責任者(CTO)であるブランドン・ウィリアムズ氏はコメントした。
「バックアップ戦略は、理想的にはアクセスを防ぐだけでなく、不変性、冗長性、復旧可能性、レジリエンス――複数層のセキュリティ制御を提供すべきだ。」
MDSecチームは2月2日にこの脆弱性をArcServeへ報告し、長いプロセスを経て、問題に対処するパッチが2023年6月27日にリリースされたと報じられている。しかし、セキュリティ研究者に対して適切なクレジットが付与されていない点について懸念が示された。
悪用リスクを軽減するため、ユーザーにはArcServe UDP Backupソフトウェアを最新バージョンへ更新することが強く推奨される。
翻訳元: https://www.infosecurity-magazine.com/news/critical-flaw-exposes-arcserve/
