Progress Software MOVEit Transfer’i etkileyen yeni açıklanan kritik bir güvenlik kusuru, hatanın ayrıntılarının kamuya açıklanmasından kısa bir süre sonra halihazırda kullanım girişimlerine maruz kalıyor.
CVE-2024-5806 (CVSS puanı: 9.1) olarak izlenen güvenlik açığı, aşağıdaki sürümleri etkileyen bir kimlik doğrulama atlamasıyla ilgilidir:
- 2023.0.0’dan 2023.0.11’e kadar
- 2023.1.0’dan 2023.1.6’ya kadar ve
- 2024.0.0’dan 2024.0.2’ye kadar
Şirket, Salı günü yayınlanan bir danışma belgesinde, “Progress MOVEit Transfer’deki (SFTP modülü) uygun olmayan kimlik doğrulama güvenlik açığı, Kimlik Doğrulamanın Atlanmasına yol açabilir” dedi.
İlerleme aynı zamanda MOVEit Gateway sürüm 2024.0.0’ı etkileyen SFTP ile ilişkili başka bir kritik kimlik doğrulama atlama güvenlik açığını da (CVE-2024-5805, CVSS puanı: 9.1) ele aldı.
Kusurların başarılı bir şekilde kullanılması, saldırganların SFTP kimlik doğrulamasını atlamasına ve MOVEit Transfer ve Ağ Geçidi sistemlerine erişim sağlamasına olanak tanıyabilir.
watchTowr Labs o zamandan beri CVE-2024-5806 hakkında ek teknik özellikler yayınladı; güvenlik araştırmacıları Aliz Hammond ve Sina Kheirkhah bunun sunucudaki herhangi bir kullanıcının kimliğine bürünmek için silah haline getirilebileceğini belirtti.
Siber güvenlik şirketi, açığın Progress MOVEit’te ve IPWorks SSH kütüphanesinde bulunan iki ayrı güvenlik açığından oluştuğunu belirtti.
Araştırmacılar, “Daha yıkıcı olan güvenlik açığı, yani keyfi kullanıcıları taklit etme yeteneği, MOVEit’e özgü olsa da, daha az etkili (ancak yine de çok gerçek) zorunlu kimlik doğrulama güvenlik açığının, IPWorks SSH sunucusunu kullanan tüm uygulamaları etkilemesi muhtemeldir” dedi.
Progress Software, üçüncü taraf bileşenindeki eksikliğin yama yapılmaması halinde “orijinal sorunun ortaya çıkma riskini artırdığını” belirterek, müşterilerin aşağıdaki iki adımı takip etmelerini istedi:
- MOVEit Transfer sunucularına genel gelen RDP erişimini engelleyin
- MOVEit Transfer sunucularından giden erişimi yalnızca bilinen güvenilir uç noktalarla sınırlayın
Rapid7’ye göre, CVE-2024-5806’dan yararlanmanın üç ön koşulu var: Saldırganların mevcut bir kullanıcı adı hakkında bilgi sahibi olması, hedef hesabın kimliğinin uzaktan doğrulanabilmesi ve SFTP hizmetinin internet üzerinden herkese açık olması gerekiyor.
25 Haziran itibarıyla Censys tarafından toplanan veriler, çoğu ABD, İngiltere, Almanya, Hollanda, Kanada, İsviçre, Avustralya, Fransa, İrlanda ve Danimarka’da bulunan yaklaşık 2.700 MOVEit Transfer örneğinin çevrimiçi olduğunu gösteriyor.
Geçen yıl gerçekleşen bir dizi Cl0p fidye yazılımı saldırısında (CVE-2023-34362, CVSS puanı: 9,8) MOVEit Transfer’deki bir başka kritik sorun geniş çapta kötüye kullanıldığından, kullanıcıların en son sürümlere güncelleme yapmak için hızlı hareket etmesi çok önemli.
Bu gelişme, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA), Kimyasal Güvenlik Değerlendirme Aracının (CSAT) bu Ocak ayı başlarında Ivanti Connect Secure (ICS) cihazındaki güvenlik kusurlarından yararlanan bilinmeyen bir tehdit aktörü tarafından hedef alındığını açıklamasıyla ortaya çıktı ( CVE-2023-46805, CVE-2024-21887 ve CVE-2024-21893).
Ajans, “Bu izinsiz giriş, Üst Ekran anketlerine, Güvenlik Açığı Değerlendirmelerine, Site Güvenlik Planlarına, Personel Kefalet Programı (PSP) gönderimlerine ve CSAT kullanıcı hesaplarına potansiyel yetkisiz erişimle sonuçlanmış olabilir” dedi ve herhangi bir veri kanıtı bulamadığını ekledi. sızma.