Progress Software’de sıfır gün güvenlik açığı MOVEit yönetilen dosya aktarım hizmeti Tehdit istihbaratı firmaları Perşembe günü uyardı.
Progress, kritik güvenlik açığını açıkladı danışma Çarşamba günü eklenmesi, tehdit aktörlerinin ayrıcalıkları artırmasına ve müşteri ortamlarına yetkisiz erişim elde etmesine izin verebilir. Henüz atanmış bir CVE’si yok.
Mandiant şu anda MOVEit’in aktif olarak kullanılmasıyla bağlantılı birkaç izinsiz girişi araştırıyor ve hizmeti kullanan tüm müşterilerin sistemlerini uzlaşma ve veri hırsızlığı açısından adli olarak incelemeye teşvik ediyor.
“Son birkaç gün içinde toplu istismar ve geniş kapsamlı veri hırsızlığı meydana geldi” Mandiant Danışmanlık CTO’su Charles Carmakaben bir açıklamada söyledi.
Carmakal, “Mandiant’ın şimdiye kadar analiz ettiği kanıtlara göre, istismara ilişkin bilinen en eski kanıt 27 Mayıs’ta meydana geldi. Araştırmalarımıza devam ederken daha önceki istismarları öğrenmemiz mümkün.”
İlerleme, “son derece önemli” tüm MOVEit müşterilerinin, MOVEit ortamlarına giden tüm HTTP ve HTTP trafiğini derhal devre dışı bırakmak da dahil olmak üzere hafifletme önlemlerini uygulaması. Şirket, Perşembe günü MOVEit’in tüm desteklenen sürümleri için yamalar yayınladı, ancak ek ayrıntılar için bir talebe hemen yanıt vermedi.
Güvenlik açığı, MOVEit’in şirket içi ve bulut tabanlı sürümlerini etkiliyor. Satıcı, bir Durum güncellemePerşembe günü bulut test sunucularına yama uyguladığını ve HTTP erişimini geri yüklediğini söyledi.
IoC’ler, 30 gün dışarıda
Progress, müşterilere beklenmeyen dosyaların oluşturulması ve beklenmeyen veya büyük dosya indirmeleri de dahil olmak üzere “en az son 30 gün içinde” potansiyel uzlaşma göstergelerini kontrol etmelerini söyledi.
Huntress ve Rapid7 ayrıca Perşembe günü MOVEit sıfırıncı gün güvenlik açığının aktif açıklarından yararlanıldığına dair kanıtları ve uzlaşma göstergelerini paylaştı.
“31 Mayıs itibariyle, kabaca 2.500 MOVEit Transfer örneği vardı. Rapid7 güvenlik açığı araştırması üst düzey yöneticisi Caitlin Condon, “çoğu ABD’deymiş gibi görünen halka açık internete maruz kalıyor” dedi. Blog yazısıShodan verilerine atıfta bulunur.
Avcı, bir Reddit’te yayınlaSalı günü meydana gelen istismarlar da dahil olmak üzere, şu anda bilinen uzlaşma göstergelerine sahip 10’dan az ana bilgisayar gözlemlediğini söyledi.
Bu, şu anda bu yıl bir dosya aktarım hizmetiyle bağlantılı üçüncü yüksek profilli, aktif olarak yararlanılan güvenlik açığıdır.
Fidye yazılımı grupları, hala aktif olarak bir güvenlik açığından yararlanıyordu. IBM Aspera Faspex’in yama uygulanmamış sürümleri Mart ayı sonlarında, bir yamanın ilk kez kullanıma sunulmasından yaklaşık dört ay sonra.
Clop fidye yazılımı grubuna bağlı tehdit aktörleri, yaklaşık 200 kurban olduğunu iddia etti. Fortra’nın GoAnywhere’deki sıfır gün güvenlik açığından yararlanma Mart ayında dosya aktarım hizmeti.
Carmakal, MOVEit sıfır gün güvenlik açığından etkilenen müşterilerin potansiyel gasp ve çalınan verilerin yayınlanmasına karşı hazırlıklı olması gerektiğini söyledi.
Carmakal, “Sıfır gün güvenlik açıklarının diğer yönetilen dosya aktarımı çözümleriyle toplu olarak kullanılması, veri hırsızlığı, gasp, çalınan verilerin yayınlanması ve kurbanların utandırılmasıyla sonuçlandı” dedi.