コンテンツへスキップ
ホーム » WS_FTP脆弱性 を狙ったランサムウェア攻撃、漏洩された4千以上のサーバー 

WS_FTP脆弱性 を狙ったランサムウェア攻撃、漏洩された4千以上のサーバー 

最近、複数のWS_FTP脆弱性が発見され、「パッチが適用されていないまま漏洩されたWS_FTPサーバーがランサムウェアの新たな標的となっている」というニュースが様々なサイバーセキュリティメディアによって扱われています。脆弱な状態で漏洩されたWS_FTPサーバーを攻撃した代表的な組織は「Reichsadler」という専門のサイバー犯罪集団と判明されました。当集団は最近、WS_FTPサーバーの脆弱性が公開されてから攻撃を実行したと知られました。WS_FTPの開発会社である「Ipswitch」は9月23日、自社ブログを通じてWS_FTPサーバー脆弱性を解決できるパッチの情報と適用方法についてのお知らせを掲載しました。

WS_FTP(WinSock File Transfer Protocol)とは、Ipswitchが開発したFTP(ファイル伝送プロトコル)の具現体の一つで、インターネットにてファイルを伝送・共有するに使用されるソフトウェアです。WS_FTPサーバーはシステム、アプリケーション、グループと個人の間に情報を安全に保存・共有・伝送する最も便利な方法です。FTPサーバーとFTPクライアントで構成されているWS_FTPは現在、世界中の4千万人以上のユーザーを保有する人気製品です。

WS_FTP脆弱性の公開直後にランサムウェア攻撃を実行

最初に脆弱性を発見したAssetnoteのセキュリティ研究員はIpswitchのパッチをお知らせした後、PoC(概念実証)エクスプロイトコードを公開しました。ランサムウェアを配布しようとしたが失敗した事例を分析して主な攻撃の原因を明かしました。それは認証されていない攻撃者がHTTPリクエストを通じて基本のOSからリモートでコマンドを実行できるようにするAd hoc伝送モジュールの.NET逆シリアル化の脆弱性を悪用したことだそうです。この攻撃によって全てのバージョンのWS_FTPサーバーが影響を受け、そこにはCVSSが10である深刻な脆弱性「CVE-2023-40044」も含まれています。

9月27日、Ipswitchが公式に発表したWS_FTP脆弱性に関するセキュリティパッチのお知らせ
9月27日、Ipswitchが公式に発表したWS_FTP脆弱性に関するセキュリティパッチのお知らせ

インターネットに漏洩された4,600以上のWS_FTPサーバーが発見 

次はCriminal IP IT資産検索にproductフィルターを使用してインターネットに繋がっているWS_FTPサーバーを検索した結果です。

Search Query: product: “WS_FTP

Criminal IP IT資産検索にproductフィルターを使用してWS_FTPサーバーを検索した結果
Criminal IP IT資産検索にproductフィルターを使用してWS_FTPサーバーを検索した結果

外部に漏洩されたWS_FTPサーバーが4,600個以上発見されました。これはサイバーセキュリティメディア「BleepingComputer」の記事に引用された統計の2倍を超える数値です。

もちろん、外部に漏洩された全てのWS_FTPのホストがWS_FTP脆弱性を保有するか、ランサムウェア攻撃に脆弱な状態なわけではありません。WS_FTPサーバーはグループや個人の間のファイル伝送・保存のために使用されるので、意図的に外部と繋げておく場合があるためです。しかし、FTPサーバーの使用目的の特性上、常に緊密な個人情報や文書が保存されていて、セキュリティ設定がきちんとされていないか、ユーザーIDとパスワードが流出される場合もあります。それを狙ったハッカーが違法的にシステムにアクセスし、ランサムウェア攻撃を試みるのです。

古いバージョンのWS_FTPを使用している特定IPアドレスのIT資産検索レポート
古いバージョンのWS_FTPを使用している特定IPアドレスのIT資産検索レポート

検索結果の中であるサーバーを確認してみると、5つのポートが空いています。その中でFTPサーバーが稼働されている21番のポートは脆弱な状態と確認されます。このようにWS_FTP脆弱性を保有する状態で外部に漏洩されていると、攻撃者がアクセスする可能性が高まりかねません。

また、オープンポートの情報を見ると21番ポートのWS_FTPバージョンが3.1.3であることを確認できます。現在Ipswitchが勧めるWS_FTPバージョンは8.8.4であるため、当サーバーは結構前からパッチされていない状態で放置されたサーバーと推定されます。

漏洩されたWS_FTPサーバーを保有する国の統計

Criminal IPの要素分析機能で 「product: WS_FTP」 クエリを使用してインターネットに漏洩されたWS_FTPサーバーを使用する国の統計を閲覧できます。

総計70ヵ国が漏洩されたWS_FTPサーバーを使用していることが確認されます。その中でアメリカが2,834個で最大値を記録し、ドイツが221個、イギリスが212個で後を継ぎました。

Criminal IPに検知された漏洩WS_FTPサーバーを使用している国の統計
Criminal IPに検知された漏洩WS_FTPサーバーを使用している国の統計

Criminal IPに検索された4千個を超える漏洩されたWS_FTPサーバーの中には、セキュリティパッチが適用されていないサーバーが殆どでした。WS_FTP脆弱性を悪用したランサムウェア攻撃は今も続いており、ランサムウェアではなくエクスプロイトが公開されている数多い脆弱性もいつでもハッカーによって攻撃が試みられる可能性があります。そのため、WS_FTPサーバーを運用する企業・機関では勧告に従ってセキュリティ設定と最新バージョンのパッチを適用しなければなりません。Ipswitchの公式ホームページでCVE-2023-40044を含め、問題になっている脆弱性のセキュリティパッチと勧告事項を確認できます。

関連して2020年に発生した オラクル・ウェブロジックサーバーのRCE脆弱性:CVE-2023-21839 についての投稿をご参照ください。

当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。

只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。

データの提供:Criminal IP (https://www.criminalip.io/ja)

ご参照:https://criminalip.co.jp/2023/06/14/オラクル・ウェブロジックのrce-脆弱性/

タグ:

コメントを残す

%d