サプライチェーン統合ベンダーの Cleo 社は、10 月のセキュリティ更新が回避され、ロシアと関係のある犯罪集団 Cl0p が自分たちの悪事だと主張する広範囲にわたるランサムウェア攻撃が発生したことを受けて、顧客に対し 3 つの製品のアップグレードを促した。
この話は、Cleo が Harmony、VLTrader、LexiCom 製品にパッチを適用し、リモート コード実行 (RCE) につながる可能性のある、無制限のファイル アップロードおよびダウンロードの欠陥に対処した 10 月に始まります。
しかし先週、情報セキュリティ企業のハントレスは、パッチが回避されたことでCleo製品が攻撃を受けていると警告した。ハントレスの研究者は、大規模な悪用が発生しており、少なくとも10社の企業が侵害を受けており、完全にパッチが適用されたシステムでさえも悪用される可能性があると警告した。
セキュリティ企業はその後、この問題を悪用する「Malichus」という新しいマルウェアの種類を特定した。
Cleo は顧客に対し、Harmony、VLTrader、LexiCom 製品をバージョン 5.8.0.21 にアップデートするよう促した。ベンダーによると、このバージョンでは CVE-2024-50623 が修正されているという。
その後、ソフトウェアベンダーは新たな脆弱性CVE-2024-55956に関するセキュリティアラートを発行し、顧客に対し、Harmony、VLTrader、LexiComのインスタンスをバージョン5.8.0.24にアップグレードするよう「強く勧めている」。同社によると、このバージョンでは、以前報告された重大なバグが修正されているという。
サイバーセキュリティプラットフォームベンダーのRapid7によると、CVE-2024-55956は以前の脆弱性CVE-2024-50623を迂回するものであり、既に悪用されているとのことだ。「当社のチームは、脆弱性の列挙と悪用後の活動を観察しており、複数のインシデントを調査しています」と、脅威ハンターは先週発表した。
Cleo社は、The Registerの質問(侵害を受けた顧客数や、CVE-2024-50623とCVE-2024-55956の関係性など)にすぐには回答しませんでした。具体的な回答が得られ次第、この記事を更新します。
12月13日までに、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Cleoのバグを既知の脆弱性リストに追加し、ランサムウェア攻撃で悪用されている脆弱性としてリストアップしました。その直後、Cl0pはデータ漏洩サイトに謎めいたメッセージを投稿し、攻撃の犯人であると主張したと報じられています。
犯人は皆に「新年あけましておめでとうございます」と挨拶しましたが、ダウンロード用のサンプルデータは掲載していませんでした。
Cl0pはデータ漏洩サイトに謎めいたメッセージを投稿した – クリックして拡大
CISAもFBIも、攻撃の背後にどのランサムウェア集団がいたか、また何人の被害者が被害に遭ったかというThe Registerの質問にすぐには回答しなかった。
El Regの読者の皆様もご存知の通り、Cl0pはロシアと関係のあるランサムウェア集団で、2023年5月にProgress SoftwareのMOVEit製品スイートの重大なセキュリティホールを悪用し、数千の組織と数百万人の個人からデータを窃取しました。CleoとMOVEit製品の類似性、そしてMOVEit攻撃による被害が依然として続いていることから、情報セキュリティの専門家はCleoの状況を注視しています。
しかし、Cl0p 氏の主張を信じるべきかどうかについては、まだ結論が出ていない。
被害者の通知やダウンロードするデータを見るまでは、脅威アクターの言葉を信頼できるかどうかはわかりません。
「これらの攻撃を実行したのはCl0pであるという、より決定的な証拠を個人的にはまだ待っています」と、ハントレスの主任セキュリティ研究者であるジョン・ハモンド氏はThe Registerに語った。「被害者への通知やダウンロードするデータを見るまでは、脅威アクターの言葉をまだ完全には信じられません。」
ハモンド氏は、Cleoの最新アップデートでこの脆弱性は確実に修正されていると付け加えた。「私の知る限り、5.8.0.24は、 12月に新たに発見されたCVE-2024-55956に対する概念実証エクスプロイトの阻止に成功しています」とハモンド氏は断言した。
それでも、誰がこれらの攻撃の背後にいるのかを断言するのは時期尚早だ。ハントレスが追跡してきたCleoの活動は、Cl0pの通常の手口と「完全には一致していなかった」とハモンド氏は付け加え、「そのため、まだ推測の域を出ない」と付け加えた。
「証拠を待つ」
ハモンド氏はまた、Cl0p のリークサイト上のメッセージがこのグループの関与の証拠にはならないのではないかと懸念している。
「これが彼らがクレオ攻撃の犯行声明を出しているのか、それとも古いデータをすべて削除したタイミングが単に奇妙だっただけなのかは定かではありません」とハモンド氏はThe Register紙に語った。「一つの可能性としては、彼らが新たな被害者全員を公表し、交渉を始める準備をしているということが挙げられますが、今のところはすべて憶測の域を出ません。」
Rapid7の脅威分析担当シニアディレクター、クリスティアン・ビーク氏も、Cl0p、あるいは他のグループがCleo製品への攻撃に関与していることを示す「確固たる証拠」は見つかっていないと述べた。「しかしながら、2021年のMOVEitやAccellion FTAなど、Cl0pが複数のファイル転送ユースケースにおいて、この脆弱性に類似した複雑なチェーンを悪用しているのを確認しています」と、同氏はThe Register紙に語った。
- 完全にパッチを当てたCleo製品が新たな「ゼロデイ風」大規模攻撃を受ける
- MOVEitの最新被害者数:2,600以上の組織が攻撃を受け、7,700万人以上のデータが盗難された
- ゼロックス、ノキア、バンク・オブ・アメリカ、モルガン・スタンレーなどの従業員76万人のデータがオンラインに流出
- デロイトは、ロードアイランド州の福祉ポータルへのサイバー攻撃は「重大なセキュリティ上の脅威」を伴うと述べている
「Cl0pは通常、純粋なゼロデイチェーンや脆弱性を悪用します」とビーク氏は付け加えた。「今回のチェーンは『不純』なものでした。脆弱性の1つはCl0pが使い始める前に修正されており、潜在的に悪用されていた可能性があるからです。私たちの知る限りでは。」
そして、Cleo の製品を悪用しているのが誰なのか(Cl0p である可能性もある加害者自身以外)は誰も独自に確認していないが、その戦術は Cl0p の手口と一致しているようだ、と Black Kite の主任調査情報責任者 Ferhat Dikbiyik 氏は言う。
「これはCl0pの典型的なパターンと一致しています。つまり、大規模に脆弱性を悪用し、最初の被害者と静かに交渉し、その後、さらなる圧力をかけるためのキャンペーンを公に発表するのです」とディクビイク氏はThe Registerに語った。「MOVEitとGoAnywhereへの過去の攻撃を踏まえると、被害者の名前が1~2週間以内に明らかになるだろうと予想されます。」®
