Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Araştırmacılar, Saldırganların Sıfır Gün Saldırılarını Başlatabilmesinden Önce Kusurları Ortadan Kaldırmak İçin Yarışıyor
Mathew J. Schwartz (euroinfosec) •
20 Ekim 2023
Hacklemek için aktif bir hayal gücüne ihtiyacınız yok, çünkü çoğu zaman sadece işe yarayan şeylere bağlı kalmak birçok sonuç doğurur. Bilgisayar korsanları bir güvenlik açığı modeli bulduktan sonra bunu defalarca tekrarlıyor ve hassaslaştırıyor.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Ek A, son yıllarda çok sayıda olağanüstü derecede kötü bilgisayar korsanlığı olayının hedefi olan dosya aktarım yazılımıdır. Clop fidye yazılımı operasyonu, en şiddetli uygulayıcılarından biri olmaya devam ediyor. Cl0p olarak da bilinen Clop, fidye yazılımını geliştirmeye devam ederken şunları da ekliyor: .ClOP şifreli dosyalara yönelik – grup ayrıca, güvenli yönetilen dosya aktarım yazılımının kitlesel istismarına bağlı olarak çok sayıda saf veri sızıntısı denemesini de serbest bıraktı.
Güvenlik firması Emsisoft’un son raporuna göre, Clop’un Mayıs ayı sonlarında Progress Software’in MOVEit güvenli dosya aktarım yazılımı kullanıcılarına karşı başlattığı bu türden en son kampanya, 66 milyon kişinin kişisel bilgilerinin açığa çıkmasıyla sonuçlandı ve 2.550’den fazla kuruluşu doğrudan veya dolaylı olarak etkiledi. çetele.
Dosya aktarım araçlarında güvenlik açıkları ortaya çıkmaya devam ediyor. Mayıs ayında Avustralyalı siber güvenlik firması Assetnote, Citrix’i Citrix Content Collaboration olarak bilinen bulut tabanlı güvenli dosya paylaşımı ve depolama hizmetindeki ShareFile depolama bölgeleri denetleyicisindeki (SZC) kritik bir güvenlik açığı konusunda uyardı. Citrix, kusuru 11 Mayıs’ta yamaladı, müşterileri doğrudan güvenlik açığı konusunda bilgilendirdi ve güvenlik açığını kapatmalarına yardımcı oldu. Citrix ayrıca yama uygulanmamış ana bilgisayarların bulut bileşenine bağlanmasını da engelledi, böylece müşterinin kendi ortamına yönelik herhangi bir bilgisayar korsanlığı etkisi sınırlandırıldı.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı Ağustos ayında Citrix ShareFile güvenlik açığının saldırganlar tarafından aktif olarak kullanıldığı konusunda uyardı.
Hedeflenen bir diğer dosya aktarım yazılımı ise Progress Software’in WS_FTP Sunucu yazılımıdır. Assetnote ayrıca bu üründe bir kusur buldu ve bunu Progress Software’e bildirdi. Massachusetts şirketi, biri uzaktan kontrol için kullanılabilecek birden fazla kusuru düzeltmek için 27 Eylül’de yazılımı güncelledi. Bu ayın başlarında saldırganlar yazılımın yama yapılmamış versiyonlarını ele geçirmeye başladı (bkz: Fidye Yazılımı Kullanan Saldırganlar Sabitlenmemiş WS_FTP Sunucularını Hedefliyor).
Saldırganları Geride Bırakmaya Çalışıyoruz
Assetnote, güvenli dosya aktarım ürünlerindeki güvenlik açıklarının ortadan kaldırılmasına yardımcı olan tek güvenlik firması değil. Nisan ayında Rapid7, saldırganların aynısını yapmasından önce bu tür kusurları bulup bildirmek için bir araştırma çalışması başlattı. Bu çaba, baş güvenlik araştırmacısı Ron Bowes tarafından yönetiliyor. Onun kendini tarif eden “Neyin düşeceğini görmek için her dosya aktarım ağacını sallama projesi” şu ana kadar üç satıcının ürünlerinde bulduğu kritik kusurları düzeltmesine yol açtı:
- Fortra Globalscape EFT Sunucusu: Bowes, Mayıs ayında yazılımda dört güvenlik açığı buldu ve Fortra’ya bildirdi. Bunlardan biri, kötüye kullanılması zor görünse de, uzaktan kod yürütülmesine izin verdi. Fortra kusurları Haziran ayında düzeltti.
- JSCAPE MFT’si: Ağustos ayında Bowes, Redwood Software’i JSCAPE Java seri durumdan çıkarma güvenlik açığını buldu ve bu güvenlik açığına karşı uyardı; bu güvenlik açığı artık CVE-2023-4528 olarak adlandırıldı. Bu kusur, bir saldırganın, depolanan verileri çalmak da dahil olmak üzere güvenli dosya aktarım yazılımının tam kontrolünü ele geçirmesine olanak tanıyor. Fortra, 7 Eylül’de JSCAPE 2023.1.9 sürümünün yayınlanmasıyla kusuru düzeltti.
- South River Technologies Titan MFT ve Titan SFTP: Geçen ay Bowes, Titan MFT ve SFTP’de birden fazla kusur buldu ve geliştiriciye bildirdi. Pazartesi günü South River Technologies, güvenlik açıklarını kamuoyuna açıkladı ve kusurları düzeltmek için yazılımın 2.0.18 sürümünü yayımlayarak kullanıcılara hemen güncelleme yapmalarını önerdi. Güvenlik açıklarıyla ilgili iyi haber şu ki, bunların hepsi öncelikle kullanıcının kimlik doğrulamasını gerektiriyor ve ayrıca yalnızca yazılım varsayılan olmayan bir yapılandırmada kullanılıyorsa çalışıyor. Bowes, bunun “bu nedenle geniş ölçekli bir istismar görme ihtimalinin düşük olduğu” anlamına geldiğini söyledi.
Clop’un Kampanyaları
Güvenli yönetilen dosya aktarım araçlarındaki kusurları bulma ve ortadan kaldırma çabaları, Clop’un dört toplu kampanya yürütmesinin ardından geldi:
- Hızlanma: 23 Aralık 2020’de Clop, Accellion File Transfer Appliance kullanıcılarından veri çalmaya ve bunları fidye için saklamaya başladı.
- Serv-U: Kasım 2021’de Clop, SolarWinds Serv-U Yönetilen Dosya Aktarımı ve Güvenli FTP yazılımındaki bir güvenlik açığından yararlandı.
- Her Yere Gidin: Clop, 25 Ocak’tan itibaren Fortra’nın GoAnywhere yönetilen dosya aktarım yazılımından yararlandı ve Fortra, 7 Şubat’ta kusuru düzeltmeden önce en az 130 kurban kuruluştan veri çaldı.
- Oynat şunu: Mayıs ayı sonlarında: Clop, Progress Software’in MOVEit dosya aktarım yazılımındaki sıfır gün güvenlik açığından yararlanarak kullanıcıların yazılım aracılığıyla paylaştığı verileri çaldı.
Birden fazla düzenleyici şu anda saldırıları araştırıyor (bkz.: ABD Menkul Kıymetler ve Borsa Komisyonu MOVEit Hack’ini Soruşturuyor).
Siber risk firması Kroll, Clop’un CVE-2023-34362 olarak adlandırılan MOVEit güvenlik açığını 2021 gibi erken bir tarihte denemeye başlamış olabileceğini ve bunun da bu kampanyanın temelinde ne kadar planlamanın yatabileceğini gösterdiğini söyledi. Progress Software, Clop’un son derece kazançlı görünen bir kampanyayı başlatmasından sadece birkaç gün sonra, 31 Mayıs’ta kusuru düzeltti. Fidye yazılımı olaylarına müdahale şirketi Coveware, Clop’un, verilerinin çalınmasını kamuya açıklamama sözü karşılığında hızlı bir şekilde ödeme yapan MOVEit kullanan büyük kurbanlardan 75 ila 100 milyon dolar kazandığını tahmin ediyor.
Kendini koru
Güvenlik uzmanları, Clop veya taklitçiler tarafından gerçekleştirilen bu tür saldırıların artması riski göz önüne alındığında, güvenli dosya aktarım yazılımı kullanıcılarını kendilerini korumaları konusunda uyardı. Clop’un saldırılarıyla ilgili zorluklardan biri, grubun bir şekilde ürünlerdeki sıfır gün güvenlik açıklarına erişim sağlamaya devam etmesidir; bu, tamamen yamalı yazılımların bile istismar edilebileceği ve istismar edildiği anlamına gelir.
FS-ISAC’ın baş istihbarat yetkilisi ve EMEA genel müdürü Teresa Walsh, yine de güvenli dosya aktarım ürünleri kullanıcılarının, sıfır gün saldırılarına karşı bile kendilerini savunmak için kullanabilecekleri çok sayıda “iyi siber hijyen uygulaması” bulunduğunu söyledi. finansal hizmetler sektörünün bilgi paylaşım ve analiz merkezi (bkz: Clop’un MOVEit Tedarik Zinciri Saldırılarından Alınacak Dersler).
Walsh’un önerdiği stratejiler arasında dosya aktarım sunucularında depolanan veri miktarının en aza indirilmesi yer alıyor; bu şu anlama geliyor: Hızla kaldırın ve ortalıkta bırakmayın. Ayrıca saklanan verilerin şifrelenmesini, herhangi bir yazılım parçasının en iyi şekilde nasıl yapılandırılacağını anlamak için her zaman kılavuzu okumanızı ve yazılımı daha iyi kilitlemek için başkalarından yardım istemekten asla korkmamanızı önerir.