CL0PによるAccellion FTAの脆弱性利用事件メモ

■概要

ランサム犯罪者グループCL0Pにより大容量ファイル転送アプライアンスAccellion FTA（以下、FTA）の0dayの脆弱性を悪用された攻撃と脅迫が観測されています。2021年2月22日のFireEyeの発表によると 2020年12月と2021年1月に世界中の約100社が攻撃を受けていると発表されました。2021年1月12日付けのAccellionのプレスリリースでは影響を受けた50未満の顧客にパッチをリリースしたと記載されていますが、同日のAccellionのプレスリリースでは、初期フォレンジックの結果、合計約300のFTAの顧客のうち100未満が攻撃の犠牲となり、25未満が重大なデータ窃取が行なわれたと記載されていました。この25未満の顧客の一部は既にCL0Pによる脅迫を受けていることが明らかになっています。

攻撃では、脆弱性を利用してFTAを攻撃し、DEWMODEという名前のWebシェルをインストールし、FTA内に保存されているファイルを盗み出したとされています。

*CL0Pを含む標的型ランサムグループの2020年10月31日までに筆者が確認した状況についてはこちらをご覧ください。

■Accellionのリリース

このエントリ執筆時点で確認できているAccellionによるリリースは以下の通り。

日付	リリースタイトル
01月12日	・ACCELLION RESPONDS TO RECENT FTA SECURITY INCIDENT
02月01日	・ACCELLION PROVIDES UPDATE TO RECENT FTA SECURITY INCIDENT
02月22日	・ACCELLION PROVIDES UPDATE TO FTA SECURITY INCIDENT FOLLOWING MANDIANT’S PRELIMINARY FINDINGS
03月1日	・MANDIANT ISSUES FINAL REPORT REGARDING ACCELLION FTA ATTACK

■脆弱性

これらを受け、予約されたCVEは以下の通りです。

CVE-2021-27101 SQL injection via a crafted Host header
CVE-2021-27102 OS command execution via a local web service call
CVE-2021-27103 SSRF via a crafted POST request
CVE-2021-27104 OS command execution via a crafted POST request

■FireEyeのレポート

FireEyeのレポートによると影響を受けたデバイスからApacheとシステムログの調査により、SQLインジェクションの脆弱性を利用し、DEWMODEが書き込まれたと記載されています。DEWMODEは、FTA上のMySQLデータベースから使用可能なファイルを列挙し、それに対応するメタデータ（ファイルID、パス、ファイル名など）をHTMLページにリストします。これを通じてファイルをダウンロードしたとされているのですが、作りから考えるとDEWMODEはこの攻撃のためにカスタムされたWebシェルの可能性があるのではないでしょうか。

■被害公表組織

下表はFTAの脆弱性に起因する被害を公表している組織とそのリリースです。（年は全て2021年）中にはCL0Pによるリークが既になされている組織もありますが、下表の組織に対する攻撃がすべてCL0Pによるものかは不明です。結果的には攻撃から脅迫まですべて同じ攻撃者である可能性はあるものの、FireEyeのレポートではCL0P、脆弱性を利用し攻撃をした攻撃者、メールによる脅迫を行った攻撃者を区別しています。

初報日付	組織名	リリース
01月10日	Reserve Bank Of NewZealand	・Reserve Bank responding to illegal breach of data system ・Reserve Bank response to illegal breach of data system ・Reserve Bank of New Zealand committed to action as it responds to data breach ・Reserve Bank of New Zealand making good progress on addressing data breach ・Our response to Data Breach
01月15日	Australian Securities and Investments Commission	・Accellion cyber incident
02月01日	Office of the Washington State Auditor	・Third-party service provider’s security incident compromised Washingtonians’ personal information ・About the Accellion data security breach
02月09日	The University of Colorado	・Dear CU Community Members ・Accellion Cyberattack ・About the Accellion Cyberattack
2月11日	Singtel	・Media Statement relating to Accellion’s FTA Security Incident ・Singtel addresses data breach, moves to support affected stakeholder ・ABOUT ACCELLION FTA SECURITY INCIDENT
2月11日	QIMR Berghofer Medical Research Institute	・QIMR Berghofer investigates suspected Accellion data breach
2月12日	Fguro	・CYBER SECURITY INCIDENT THIRD-PARTY SUPPLIER OF FUGRO
02月19日	Kroger	・Accellion Security Incident Impacts Kroger Family of Companies Associates and Limited Number of Customers ・Information About the Accellion Incident
02月23日	Bombardier	・Bombardier Statement on Cybersecurity Breach
02月23日	Transport for NSW	・Transport for NSW impacted by the worldwide Accellion data breach
03月03日	Qualys	・Qualys Update on Accellion FTA Security Incident(Release) ・Qualys Update on Accellion FTA Security Incident(Blog)
03月05日 (*1)	Flagstar Bank	・Accellion Incident Information Center
03月03日	University of Miami	・Notice to the University of Miami community regarding a data security incident
03月16日	Royal Dutch Shell	・THIRD-PARTY CYBER SECURITY INCIDENT IMPACTS SHELL
03月31日	University of California	・UC Email Security Incident
04月02日	Stanford University	・Message to Stanford community on cybersecurity incidentMessage to Stanford community on cybersecurity incident ・Statement on the School of Medicine Cybersecurity Incident
確認中	RaceTrac	・ACCELLION INCIDENT

■事例

前述の通りいくつかの組織がAccellionの脆弱性を利用され、リリースを公開しています。その中でも比較的リリースが詳細で、かつ、脅迫を受けていることも公表しているシンガポール・テレコム（以下、Sigtel）のタイムラインを以下に紹介します。以下のタイムラインはSigtelがリリース内で公開している情報をベースに報道や自身で観測した情報を加味して作成したものになります。

年	日付	内容
2020年	11月30日	Accellion、FTAのサポート終了スケジュールを発表
	12月23日	Accellion、Singtelを含むユーザに脆弱性を通知し、一連のパッチを提供
	12月24日	Singtel、パッチを適用（提供されたものの一部）
	12月27日	Singtel、残りのパッチを適用
2021年	01月23日	これまでに提供されたパッチは脆弱性を修正できないものであったためSingtelはFTAをオフラインにする
	01月30日	Accellionが別のパッチをリリース、Singtelにて適用時、アラート発生調査により1月20日に侵害があったことが判明
	02月09日	Singtel、ファイルの流出を確認
	02月11日	Singtel、FATに関するインシデントを公表
	02月15日	CL0P、リークサイトに公表（日本時間で左記日付の19:54時点で公表を確認）
	02月17日	Singtel、データ侵害に関するリリースを公表

上表、2021年02月17日のリリース内で窃取されたことが確認されているデータとその件数は以下の通り。

情報種別	件数
NRIC（*25）を含むの顧客の個人情報（名前、生年月日、携帯電話番号、住所の組み合わせ）	約129,000人
Singtelの元従業員の銀行口座の詳細	28人
Singtelモバイル回線を使用する法人顧客スタッフのクレジットカードの詳細	45人
企業のいくつかの情報	23件

■攻撃者からの被害組織の関係者や顧客、メディアへの連絡

Bleeping Computerが2021年03月26日に報じていますが、CL0Pは、窃取したデータのリークについて関係者やメディアにその事実を知らせるメールを送信したそうです。カナダのケベック州に本部を置く、輸送用機器製造の「BOMBARDIER」のサンプルリークの1週間後、CL0Pはあるジャーナリストにリークの事実をあるジャーナリストに知らせています。しかし、望んだ効果（金銭の支払い）が得られなかったのか次にCL0Pは、「BOMBARDIER」の顧客に対してリークの事実を知らせるメールを送信したそうです。このような手法は、他のAccellion FTAの脆弱性を悪用された被害組織の関係者に対して行われているようで、例えば、下図のようにカリフォルニア大学が運営している「UCnet」というサイトでも注意喚起がされています。

しばしば、CL0Pに限らず、ランサム攻撃者は、身代金交渉の連絡をしてこなかったり、身代金の支払いに応じない被害組織に対してDDoSやVoIPを通じた連絡により支払いを促すということを行ってきましたが、これらと同様に被害組織の関係者や顧客、メディアに対して事実を通知することにより被害組織に圧力をかけようとしているのでしょう。これがどれほどの効果があるかは分かりませんが、結果次第では今後も継続して見られる手法となっていくかもしれません。

■コメント

攻撃者はCL0Pですのでいわゆる二重脅迫と思いがちかもしれませんが、Accellion関連の攻撃はランサムウェアに感染させ、ファイルの暗号化などを用いてシステムをロックし、復旧、復元させたるために金銭を要求するという手段は用いていないようで、盗んだファイルのリークに関しての脅迫をしているという点は、これまでの攻撃、脅迫とは異なります。下表は、これまで（2020年03月04日時点）確認できたCL0Pのリーク数を表しています。

FTAの影響も受けてCL0Pのリーク数は以前に比べ、先月、今月とハイペースとなっているため今後も同様の被害の公表がされる可能性が考えられます。

2021年04月03日追記：

前述の通り2021年03月05日時点ではCL0Pのリーク数は2月に9件、3月で5件とこれまでのペースを上回ってきていました。最終的に2021年03月31日には下表のように21件と、これまでにない件数となりました。

(*1) FAQの公開日が記載されていなかったためFlagstar Bankのカスタマーサポートに問い合わせた結果判明。

■更新履歴

・2021年04月11日被害公表組織に「RaceTrac」を追加

・2021年04月05日コメント追記

・2021年04月03日被害公表組織に「University of California」「Stanford University」を追加

・2021年03月30日被害公表組織「Reserve Bank Of NewZealand」のリリースに「Our response to Data Breach」を追加

・2021年03月29日被害公表組織に「Royal Dutch Shell」を追加

・2021年03月26日被害公表組織に「University of Miami」を追加

・2021年03月10日 FAQ公表日を「Flagstar Bank」に問い合わせた結果を反映

・2021年03月09日被害公表組織に「Flagstar Bank」を追加

・2021年03月06日被害公表組織の文言修正

・2021年03月05日初版公開