脆弱なソフトウェアおよび概要
TCO!Stream は、韓国国内の ML ソフト社が製造した財産管理ソリューションである。サーバーとクライアントで構成されており、管理者コンソールプログラムを利用してサーバーにアクセスし、財産管理業務を実行することができる。TCO!Stream は財産管理のために様々な機能を提供しているが、サーバーからコマンドを受け取るためにクライアントに常駐するプロセスが存在し、このプロセスを通してコマンドを実行する。このプログラムを悪用して、リモートでコードを実行できる脆弱性攻撃にさらされるため、最新バージョンへのアップデートが必要である。
脆弱性の説明
この脆弱性は、AhnLab が最初に発見、および通報した脆弱性で、脆弱なバージョンの TCO!Stream で遠隔コード実行脆弱性(RCE)が発生する可能性がある。
パッチの対象およびバージョン
TCO!Stream 8.0.22.1115 以下のバージョン
脆弱性悪用ログ(Lazarus)
クライアントの侵害事例の解析プロセスで TCO!Stream ソリューションが攻撃者によって悪用される状況が発見され、これを利用して様々な PC でリモートでコードを実行してバックドアをインストールしていた。

解決方法
ユーザーは次の案内によって、プログラムのバージョンを確認し、最新バージョン(8.0.23.215バージョン以上)にアップデートをするようにしていた。
– サービス運営者 : ML ソフトを通して最新バージョンに交換
– サービス利用者 : 運営者が最新バージョンに交換すると自動でアップデート
[検知]
Trojan/Win.Agent.C5356408 (2023.01.12.03)
[IOC]
MD5
– e7c9bf8bf075487a2d91e0561b86d6f5
[Reference]
- https://knvd.krcert.or.kr/detailSecNo.do?IDX=5881
- http://mlsoft.com/bbs/board.php?bo_table=54_1
- https://atip.ahnlab.com/ti/contents/asec-notes?i=11d64889-76f5-40a5-86d3-8319e1bef763
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:対応ガイド