3. Taraf Risk Yönetimi, Yönetişim ve Risk Yönetimi, Yama Yönetimi
Progress Software: ‘Yeni Açıklanan Üçüncü Taraf Güvenlik Açığı Yeni Riskler Getiriyor’
Akşaya Asokan (asokan_akshaya), David Perera (@daveperera) •
26 Haziran 2024
Bilgisayar korsanları, Progress Software’in MOVEit yönetimli dosya aktarım uygulamasındaki yeni bir kusuru, yapımcı Progress Software’in, saldırganların kimlik doğrulamayı atlamasına olanak tanıyan kritik kusuru kamuya açıklamasından yalnızca birkaç saat sonra fark etti.
Ayrıca bakınız: Güvenlik Açığı ve Yama Yönetiminin Karmaşıklıkları
Şirket ayrıca, transfer uygulamasına genel internet erişimini kısıtlamayı amaçlayan Gateway proxy hizmetinde de benzer bir açığı açıkladı.
Massachusetts şirketinin müşterileri, Mayıs 2023’te, Anma Günü hafta sonu boyunca sıfır günden yararlanan Rusça konuşan fidye yazılımı grubu Clop’un liderliğindeki transfer yazılımına yönelik toplu saldırı deneyiminden sonra acil durum yama uygulamasına yabancı değiller (bkz.: Bilinen MOVEit Saldırısının Kurban Sayısı 2.618 Kuruluşa Ulaştı).
Progress Software Salı günü yaptığı açıklamada, 11 Haziran’da CVE-2024-5806 olarak izlenen dosya aktarım uygulamasındaki uygulama atlama güvenlik açığına yönelik bir yama dağıttığını söyledi.
Ancak “yeni açıklanan üçüncü taraf güvenlik açığı yeni riskler getiriyor” dedi. Şirket, müşterilerini MOVEit sunucularına gelen uzak masaüstü protokol erişimini engellemeye ve bilinen, güvenilir uç noktalara giden bağlantıyı sınırlamaya çağırdı.
Siber güvenlik şirketi watchTowr, bir blog yazısında, üçüncü taraf kusurun, Progress Software’in anahtar çifti kimlik doğrulaması için kullandığı ve şirket yapımı ekstra işlevlerle desteklenen IPWorks SSH’de bulunduğunu söyledi.
IPWorks SSH’nin Kuzey Karolina üreticisi /n software adlı bir şirket, bir yama yayınladığını söyledi. “Güvenlik açığının kapsamı geliştiricilerin bileşeni nasıl kullandığına bağlı ve sınırlı olmasını bekliyoruz,” dedi n/ software CEO’su Gent Hito bir e-postada. “Güvenlik araştırmacılarının pazartesi günü yayınlanmadan sadece 24 saat önce bizi bilgilendirdiğini belirtmekte fayda var, oysa bunu haftalardır biliyorlardı ve üzerinde çalışıyorlardı – bu üzücü.”
watchTowr’daki araştırmacılar, saldırı senaryosunun, bir bilgisayar korsanının MOVEit Transfer kayıt sistemini kandırarak kimlik doğrulama anahtarı çiftinin yarısını saklamasını gerektirdiğini söyledi; bu sistem, başarısız bir oturum açma girişiminde kullanılan sözde kullanıcı adı olarak bir genel anahtarı otomatik olarak kaydederek bunu yapacaktı. MOVEit sistemi içinde saklanan ortak anahtar sayesinde, bir saldırgan erişim kazanmak için geçerli bir kullanıcı adı ve ortak anahtarla eşleşen, saldırgan tarafından kontrol edilen özel anahtarı kullanabilir.
“Bu yıkıcı bir saldırıdır; sunucuya genel anahtar yerleştirebilen herkesin herhangi bir SFTP kullanıcısının kimliğini üstlenmesine olanak tanır. Bu kullanıcı buradan tüm olağan işlemleri (okuma, yazma veya silme) yapabilir. MOVEit dosya aktarım sistemi içindeki güvenli FTP modülüne atıfta bulunarak araştırmacılar, “Dosyalara zarar vermez veya başka şekilde kargaşaya neden olur” dedi.
Şirket, watchTowr’un senaryosunu takip eden herhangi bir saldırının “günlük girişleri açısından oldukça gürültülü” olması bir tesellidir. Girişler için IP beyaz listesini uygulayan MOVEit sistem yöneticilerinin başka bir güvenlik katmanına sahip olacağı da eklendi.
Güvenlik firması Censys Salı günü yaptığı açıklamada, çoğunlukla ABD’de olmak üzere en az 2.700 MOVEit Transfer örneğinin çevrimiçi olduğunu söyledi. Shadowserver Vakfı, internete açık yaklaşık 1.770 MOVEit Transfer örneği buldu. Güvenlik açığı kamuoyunun bilgisine sunulduktan “çok kısa bir süre sonra” bilgisayar korsanlarının bu kusurdan yararlanmaya başladıkları belirtildi.
Alman Federal Bilgi Güvenliği Dairesi, MOVEit kullanıcılarını derhal yama yapmaya çağırdı.
Progress Software’in diğer kimlik doğrulama atlama kusuru (Gateway ürününde bulunan) daha az dikkat çekti. CVE-2024-5805 olarak izleniyor Progress Software bunun da kritik olduğunu söylüyor ancak yalnızca 2024.0.0 sürümünü etkiliyor. MOVEit Gateway, Transfer’in genel internete maruz kalmamasını sağlamak için sistem yöneticilerinin bir şirketin ağdaki silahsızlandırılmış bölgesine yerleştirebileceği isteğe bağlı bir eklenti proxy hizmetidir.