Geçen hafta Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna üç yeni giriş ekledi. Bunların arasında, son haftalarda yüzlerce kuruluşa yönelik açıklardan yararlanma ve devam eden fidye yazılımı saldırılarının önünü açan bir hata olan CVE-2023-0669 da vardı.
Hata, eski adı HelpSystems olan Fortra’nın Windows tabanlı bir dosya paylaşım yazılımı olan GoAnywhere’de keşfedildi. Web sitesine göre GoAnywhere, her türden belgeyi yönetmek için 3.000’den fazla kuruluşta kullanılıyor. Enlyft’ten alınan verilere göre, bunların çoğu büyük kuruluşlardır – en az 1.000 ve genellikle 10.000’den fazla çalışanı vardır – çoğunlukla Amerika Birleşik Devletleri’nde bulunur.
CVE-2023-0669 olarak izlenen hata, bilgisayar korsanlarının hedef sistemlerde kimlik doğrulaması gerekmeden internet üzerinden uzaktan kod yürütmesine olanak tanıyor. Bu yazı yazıldığı sırada, bu güvenlik açığı Ulusal Güvenlik Açığı Veritabanından henüz resmi bir CVSS derecelendirmesi almamıştır.
Ancak bilgisayar korsanları çoktan saldırıya geçtiği için bunun ne kadar tehlikeli olduğunu merak etmemize gerek yok. 10 Şubat’ta – Fortra’nın bir yama yayınlamasından günler sonra – Clop fidye yazılımı çetesi, 130’dan fazla kuruluşta CVE-2023-0669’dan yararlandığını iddia etti.
Üç hafta ve sayım sonrasında, daha fazla kuruluşun hala risk altında olup olmadığı belli değil.
GoAnywhere İstismarlarının Zaman Çizelgesi
2 Şubat’ta iki anormal komut, uç nokta algılama ve yanıt (EDR) satıcısı Huntress tarafından izlenen bir BT ortamında uyarıları tetikledi. Her ikisi de, GoAnywhere platformundaki işlemleri işlemek için belirlenmiş bir ana bilgisayarda yürütüldü, ancak bunun önemi henüz net değildi.
Huntress’in tehdit istihbaratı yöneticisi Joe Slowik, “İlk bakışta, uyarının kendisi oldukça geneldi,” diye yazdı. “Ancak daha fazla analiz, daha ilginç bir dizi durumu ortaya çıkardı.”
Uyarı verilen bu ağdaki bir varlık, uzak bir kaynaktan dosya indirmeye çalıştı. Slowik ve meslektaşları dosyaya kendileri erişmeye çalıştı, ancak o zamana kadar dosyayı indirmek için kullanılan bağlantı noktası kapatılmıştı. Slowik, Dark Reading’e “Nedenini tam olarak bilmiyoruz” diyor. “Düşmanın çok hızlı bir şekilde çalışıyor olması mümkün.”
Bununla birlikte, Bulgaristan’a kadar uzanan ve VirusTotal tarafından kötü amaçlı olarak işaretlenen bu varlığın IP adresine sahiplerdi. Aktör, kuruluşun dışından görünüyordu ve ilk komutlarını bir dinamik bağlantı kitaplığı (DLL) dosyası indirip çalıştırmak için kullanmıştı.
Slowik, “DLL’nin de yürütüldüğünü bilmek, olayın risk düzeyini daha da artırdı,” diyor, “çünkü indirilen kötü amaçlı yazılımsa, şimdi sistemde çalışıyor.”
Bunun bir uzlaşma olduğuna dair başka işaretler de vardı. Ancak ilgili sunucu izole edildikten sonra bile hedeflenen kuruluştaki ikinci bir sunucuya virüs bulaştı. Slowik, “Çok inatçı bir rakibimiz olduğu için endişeliydik” diye hatırlıyor.
Araştırmacılar, indirilen kötü amaçlı yazılımın bir kopyasına hala sahip değildi, ancak onu çevreleyen tüm kanıtlar, daha önce Truebot adlı bir kötü amaçlı yazılım ailesiyle ilişkilendirilen faaliyetlerle uyumlu görünüyordu. Slowik, “Kullanılan URI yapısındaki yazı, daha önceki Truebot örnekleriyle eşlendi” diyor. “Kötü amaçlı yazılımı başlatmak için başvurulan veya tarihsel tripod örneklerine benzer DLL dışa aktarma işlemlerinin yanı sıra bazı dizeler ve kod yapılarının tümü eşleşti. Örneklerin kendisinde, hepsi daha önce bildirilenlerle çok güzel bir şekilde uyumluydu. 2022’de Truebot için.”
Truebot, TA505 adlı üretken bir Rus grubuyla bağlantılı. Özellikle TA505, önceki saldırılarda hizmet olarak fidye yazılımı (RaaS) kötü amaçlı yazılımı “Clop” kullanmıştır.
Slowik’in soruşturmasıyla aynı gün, muhabir Brian Krebs, Fortra’nın önceki gün kullanıcılarına gönderdiği bir tavsiye belgesini herkesin önünde yeniden yayınladı. Geliştiricileri, GoAnywhere’in istismar edildiğini ve yanıt olarak geçici bir hizmet kesintisi uyguladıklarını açıkladı.
Alınan önlemler ne olursa olsun yeterli olmadı. 10 Şubat’ta Clop fidye yazılımının arkasındaki bilgisayar korsanları, Bleeping Computer’a GoAnywhere istismarını birden fazla kuruluşa sızmak için kullandıklarını söyledi.
CVE-2023-0669 Nasıl Çalışır?
CVE-2023-0669, bir siteler arası istek sahteciliğidir (CSRF), ancak yama uygulanmamış GoAnywhere kullanıcılarının yazılım lisanslarını yükleme biçiminden kaynaklanmaktadır.
İlginç bir şekilde, bu bir gözden kaçırma kadar bir tasarım seçimiydi. Dahili bir kullanıcının açıktan yararlanmayı nasıl tetikleyebileceğine dair halka açık en ayrıntılı analizi yayınlayan Rapid7’nin baş güvenlik araştırmacısı Ron Bowes, “Genellikle bir lisans yüklemek, bir lisans dosyasını bir sunucudan indirmeyi ve onu cihazınıza yüklemeyi içerir” diye açıklıyor. “Fortra, lisansın yöneticinin tarayıcısı aracılığıyla teslim edildiği tüm süreci şeffaf hale getirmeyi seçti. Bu, kullanıcının çok daha sorunsuz bir deneyim yaşadığı anlamına geliyor.”
Ancak, bu kusursuzluğun bir bedeli vardı. Bowes, analizinde “CSRF koruması yok (ve çerez aslında gerekli değil, bu nedenle bu sorundan yararlanmak için kimlik doğrulaması gerekmiyor),” dedi. “Bu, bunun, tasarım gereği, siteler arası istek sahteciliği yoluyla istismar edilebileceği anlamına gelir.”
Rapid7, raporunda bu güvenlik açığından yararlanılabilirliği “çok yüksek” olarak etiketledi.
Bowes, “Yönetim bağlantı noktasının internete açık olmaması gerekirken, yanlışlıkla bu şekilde yapılandırmak çok kolay. Ve bir saldırgan güvenlik açığını anladığında, uygulamanın çökmesine veya bozulmasına neden olma riski olmaksızın bu bağlantı noktası kullanılabilir” diyor. veri.”
Rapid7 ayrıca bir saldırgan için böyle bir istismarın değerini “çok yüksek” olarak etiketledi. Bowes’un açıkladığı gibi, “uygulamanın doğası gereği (yönetilen dosya aktarımı veya MFT), bir GoAnywhere MFT sunucusunun bir ağ çevresinde oturması ve dosya aktarım bağlantı noktalarının herkese açık olarak ifşa edilmesi yaygın bir durumdur. Bu, onu iyi bir hedef yapar. hem bir kuruluşun dahili ağına girmek hem de/veya potansiyel olarak hassas verileri doğrudan hedeften çalmak için.”
Fortra, 6 Şubat’ta CVE-2023-0669’u “‘lisans isteği belirteci’ dedikleri şeyi ekleyerek düzeltti,” diye açıklıyor Bowes, “bu, Fortra’nın sunucusuna yapılan şifrelenmiş istekte yer alıyor. Tam olarak bir CSRF belirtecinin yapacağı gibi davranıyor, bir saldırganın bir yöneticinin tarayıcısından yararlanmasını engellemek.”
Şimdi ne yapmalı
İstismar ne kadar ciddi olursa olsun, GoAnywhere müşterilerinin yalnızca küçük bir kısmı CVE-2023-0669 aracılığıyla dış bilgisayar korsanlarına karşı savunmasızdır. Ancak, İnternet’e açık GoAnywhere bulut sunucuları olmayanlar bile, normal Web tarayıcıları aracılığıyla bir ağın ilk güvenliğini ele geçiren dahili kullanıcılara veya saldırganlara karşı hâlâ savunmasızdır.
Bir kuruluşun GoAnywhere yönetim bağlantı noktası – 8000 veya 8001 – İnternette açığa çıkarsa, hata uzaktan kullanılabilir. Geçen hafta itibariyle, 1.000’den fazla GoAnywhere örneği açığa çıktı, ancak Bleeping Computer’ın açıkladığı gibi, bunlardan yalnızca 135’i ilgili bağlantı noktaları 8000 ve 8001 ile ilgiliydi. Savunmasız olanların çoğu, Clop tarafından büyük bir kampanyaya kapılmış gibi görünüyor. grup.
Fortra, dahili müşterilerine başka bir danışma belgesinde “Tüm GoAnywhere MFT müşterilerine bu yamayı uygulamalarını acilen tavsiye ediyoruz” diye yazdı. “Özellikle internete açık bir yönetici portalı çalıştıran müşteriler için bunu acil bir mesele olarak değerlendiriyoruz.”