3. taraf risk yönetimi, veri ihlali bildirimi, veri güvenliği
Cierant Corp.
Marianne Kolbasuk McGee (Healthinfosec) •
21 Temmuz 2025
Sağlık planlarına basılı ve elektronik belge yönetimi hizmetleri sunan Connecticut merkezli bir firma, düzenleyicilere, üçüncü taraf satıcı Cleo’dan dosya aktarım yazılımında bir güvenlik açığının istismarının yaklaşık 233.000 kişiyi etkileyen bir sağlık veri uzlaşmasıyla sonuçlandığını bildirmiştir.
Ayrıca bakınız: 2024 Sahtekarlık Anlaşmaları Raporu
Cierant Corp., 3 Temmuz’da ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na veri ihlalini bir ağ sunucusunu içeren bir hack olayı olarak bildirdi. Şirketin ihlal bildirimi, hack’in Cleo tarafından üçüncü taraf transfer aracı Vltrader’da bir güvenlik açığının kullanımı olduğunu söyledi.
Cleo Vltrader, Orta İşyeri Organizasyonları için tasarlanmış sunucu tarafı kurumsal yönetilen dosya aktarım çözümüdür.
Şirket, “Cierant bu güvenlik açığını 10 Aralık 2024’te tespit etti.” Dedi. Cierant’ın olaya ilişkin soruşturması, üçüncü taraf bir siber güvenlik firmasının yardımıyla, yetkisiz bir aktörün, daha nazik sistemlere sınırlı erişim elde etmek için güvenlik açığından yararlandığını ve bu da kişisel ve sağlık verilerinin potansiyel olarak uzlaşmasına neden olduğunu buldu.
Cierant, “Bu kişisel veriler, üçüncü taraf sağlık planları adına Cierant tarafından işlendi.
Potansiyel olarak etkilenen bilgi bireyler arasında değişir, ancak potansiyel olarak isim, adres, doğum tarihi, tedaviyle ilgili tarihler, alınan hizmetlerin genel bir açıklaması, sağlayıcı adı, sağlık kayıt numarası, sağlık planı yararlanıcı numarası, talep numarası ve/veya plan üyesi hesap numarası ve premium bilgileri içerir.
Cierant, “Bu bilginin şu anda kötüye kullanıldığına veya kötüye kullanılacağına dair bir gösterge yok.” Dedi.
Cierant, şirketin hizmet verdiği diğer sektörlerdeki müşterilerin veya bireylerin hackten etkilenmiş olup olmadığı da dahil olmak üzere, bilgi güvenliği medya grubunun olayla ilgili ek ayrıntılar talebine hemen yanıt vermedi.
Bethel, Conn merkezli Cierant ayrıca tüketici perakende ve yayıncılık endüstrilerine hizmet vermektedir.
MFT Hacks
Geçen Aralık ayında, bilgisayar korsanları Cleo ürünlerinde iki güvenlik açıkından yararlandı.
Güvenlik firması BlackKite, bunun sınırsız dosya yüklemesine ve indirmelerine izin veren bir kusur içeren CVE-2024-50623’ü içerdiğini söyledi. Kusur, saldırganların uzaktan kod yürütülmesine neden olan kötü amaçlı dosyalar yüklemesini sağladı.
Diğer güvenlik açığı, CVE-2024-55956, otomatik çalışma dizininin varsayılan yapılandırmasını hedefler. Bu güvenlik açığından yararlanan saldırganlar, sistemin önceden belirlenmiş bir dizine yerleştirilen dosyaları otomatik olarak işleme davranışını kullanarak ana bilgisayar sistemindeki Bash veya PowerShell komutlarını yürütebilir, dedi BlackKite (bakınız: Hackerlar cleo yazılım sıfır gün istismar).
Güvenlik firması Huntress, Aralık ayında ilk olarak Cleo’nun Lexicom, Vltransfer ve Harmony Software ürünlerini etkileyen güvenlik açıklarını belirlediğini söyledi. Özel olarak düzenlenen Illinois merkezli Cleo, Ekim ayında bir yama yayınlamıştı – ancak düzeltme “yazılım kusurunu azaltmıyor” diye yazdı Huntress.
Cleo daha sonra yamayı güncelledi ve tüm müşterilerine, güvenlik açığının ek keşfedilen potansiyel saldırı vektörlerini ele almak için tüm müşterilerine Harmony, Vltrader ve Lexicom örneklerini en son yayınlanan yama – sürüm 5.8.0.21 sürümüne yükseltmelerini tavsiye etti.
Cleo, ISMG’nin güvenlik açığının durumu ile ilgili ek bilgi talebine ve sıfır günün istismarlarını içeren ihlalleri bildiren müşteri sayısına hemen yanıt vermedi.
Araştırmacılar, CLEO güvenlik açığından potansiyel olarak yararlanan siber suçlu grupların termit ve özellikle klop fidye yazılımı operasyonlarını içerdiğini söyledi (bakınız: Saldırı Pozlama: Satılmamış Cleo yönetilen dosya aktarım yazılımı).
Cierant, CLEO güvenlik açığını içeren büyük bir sağlık verisi ihlallerini bildiren ilk kuruluş değildir.
Mayıs ayında, Missouri merkezli Ascension Health, eski bir iş ortağını içeren yaklaşık 440.000 hastayı ve CLEO yazılım güvenlik açığının potansiyel bir şekilde kullanılmasını içeren bir bilgilendirdi (bakınız: Yükseliş: Yazılım istismar ihlali yaklaşık 440.000’i etkiler).
Mayıs ayında Blackkite, Cleo kurbanlarının sayısının Şubat ayına kadar yaklaşık 400’e yükseldiğini tahmin etmişti.
Tabii ki Cleo, ürünlerinde güvenlik açıklarının kullanılmasını içeren hack’ler yaşayan ilk yönetilen dosya transfer yazılımı şirketi değildir.
Massachusetts Firma İlerleme Yazılımı tarafından geliştirilen Moveit, bu tür olaylarla bir geçmişe sahiptir (bkz:: MoveIT sistemleri için problama, saldırıların öncüsü olabilir).
Ayrıca, Fortra Yazılım satıcısının yönetilen dosya transfer yazılımı Goanywhere’de güvenlik açıkları da 2023 sağlık hizmetlerinde ve diğer sektörlerde birçok kuruluş tarafından bildirilen hack olaylarının merkezindeydi (bkz: bkz: Clop Fidye Yazılımı Talep Yaygın Goany Where Mft Sustamlar).
Bazı araştırmacılar, yönetilen dosya transfer yazılımının birçok düşman için istenen bir hedef olmaya devam ettiğini söyledi.
Rapid7 baş güvenlik araştırmacısı Stephen Lesser, “Fidye yazılımı grupları, bu ürünleri genellikle aktarmak için tasarladıkları dosyaları barındırdıkları için destekledikleri için tercih ediyorlar, bu da bir tehdit oyuncusu ya da ödün verilen sunucunun hassas verilerini söndürmesine veya potansiyel olarak şifrelemesine izin veriyor.” Dedi.
“Bazı dosya aktarım çözümleri, diğer depolama çözümlerine kimlik bilgileri içerir ve dayanıklı bir saldırganın bir şirketin ağına daha fazla dönmesine izin verir.” Dedi.
“Kuruluşlar yazılımın en son sürümünü çalıştırmalarını sağlamalıdır” dedi. Cleo durumunda, şirketin Vltrader’ın eski bir versiyonunu, CVE-2024-55956 güvenlik açığı ile uyum veya sözlükler yürütüyorlarsa, “o zaman sunucularının kullanılıp kullanılmadığını değerlendirmek için bir uzlaşma değerlendirmesi yapmalıdırlar, çünkü bu savunmasızlık için kamu sömürüsü kodu neredeyse yedi ay boyunca kullanılabilirler.”
Genel olarak, dosya aktarım yazılımlarının kullanılma riskini azaltmak için, bu ürünlerin müşterileri önce dosya aktarım ürünlerini kuruluşun güncelleme döngüsüne öncelik olarak en son satıcı tarafından sağlanan sürümlere güncellemelerini sağlamalıdır.
“Mümkün olduğunda, bu ürünler genel internete maruz kalmamalıdır. Dosya aktarım çözümlerinin bir VPN’nin arkasına yerleştirilmesi, genellikle bu ürünlerin doğası göz önüne alındığında, bu mümkün olmayabilir” dedi.
“Dosya aktarım ürününü barındıran sunucuda bir EDR çözümünün çalışmasını sağlamak ve bir ihlal belirtileri için düzenli değerlendirmeler yapılması önerilir.”