CISA、既知の悪用された脆弱性カタログ:MOVEit Transferで未認証での攻撃が可能に
米国のCISA(Cybersecurity & Infrastructure Security Agency)は、2023年6月2日に公開されたアラートで、新たに1つの脆弱性を「既知の悪用された脆弱性カタログ (Known Exploited Vulnerabilities Catalog) 」(以下、KEV カタログ)に追加したと発表しました。
追加された脆弱性は以下の通りです。
・CVE-2023-34362: Progress MOVEit Transfer SQL Injection Vulnerability
詳細:Progress MOVEit Transferの2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5), 2023.0.1 (15.0.1)以前のバージョンには、SQLインジェクションの脆弱性が存在します。
この脆弱性は、認証されていない攻撃者がMOVEit Transferのデータベースにアクセスすることを可能にします。使用されているデータベースエンジン(MySQL、Microsoft SQL Server、Azure SQL)によっては、攻撃者がデータベースの構造や内容についての情報を推測し、データベース要素を変更または削除するSQL文を実行することができる可能性があります。
注:これは2023年5月と6月に野生で悪用されており、未パッチのシステムはHTTPまたはHTTPS経由で攻撃を受ける可能性があります。
メーカーサイト:MOVEit Transfer の重大な脆弱性
■拘束力のある運用指令 (BOD 22-01)
CISAが公表する「既知の悪用されている脆弱性カタログ(KEVカタログ)」は米国連邦政府のシステムに対して大きなリスクをもたらすと考えられる脆弱性が登録されるデータベースです。
KEVカタログは単に脆弱性が告知されているだけではなく、CISAはKEVカタログに記載された脆弱性に対して指定の期日までに対応することを要請する「拘束力のある運用指令 22-01 (BOD 22-01)」を発令しています。
BOD 22-01によって、米国の連邦文民機関は、KEV カタログに記載された脆弱性を指定の期日までに修正しなければならないという法的拘束力をもつものです。
BOD 22-01は米国連邦政府のシステムを対象としており、米国連邦政府のシステムと関係のない民間企業には法的拘束力はありませんが、KEVカタログに掲載された脆弱性には優先度をあげて対応を行うことを推奨します。