Progress, MOVEit Transfer’deki kritik güvenlik açığını ele alan bir danışma belgesi yayınladığından beri, araştırmacılar, hatanın suistimal edilmesini ortaya çıkaran keşifler yapabildiler.
Önceden adlandırılmamış MOVEit Transfer kritik güvenlik açığı, 2 Haziran’da CVE-2023-34362 olarak adlandırıldı. Bu keşif, MOVEit Transfer’i güvenli dosya aktarımı için kullanan kuruluşlar üzerindeki potansiyel etkiyle ilgili endişeleri artırdı ve riski azaltmak için acil eyleme geçilmesi gerektiğini vurguladı.
Açık bir şekilde parmak yanması vakasında, yönetilen dosya aktarımı (MFT) yazılımı GoAnywhere’deki bir güvenlik açığının 2023’ün ilk çeyreğinde en büyük fidye yazılımı saldırısı akışını başlatmasının ardından, araştırmacılar benzer modeller buluyor.
Güvenlik uzmanları bu güvenlik açığının inceliklerini analiz etmeye devam ettikçe, kuruluşlara tetikte olmaları ve hassas bilgilerini potansiyel istismardan korumak için gerekli önlemleri almaları tavsiye edilmektedir. İşte bilmen gereken:
MOVEit Transfer kritik güvenlik açığı – İstismara yönelik keşif
Bir NIST raporuna göre hâlâ tam bir analiz bekleyen CVE-2023-34362, MOVEit Transfer web uygulamasındaki bir SQL enjeksiyon güvenlik açığıdır.
Bilgisayar korsanları, veritabanının yapısı ve içeriği hakkında bilgi edinebilir ve savunmasız sistemlerdeki veritabanı öğelerini silmek için SQL deyimlerini çalıştırabilir.
Bir Trustwave raporuna göre, “31 Mayıs’ta, MOVEit Transfer yazılımında kritik bir sıfır günü hedef alan tehdit aktörleri keşfedildi, bu da artan ayrıcalıklara ve yetkisiz veri erişimine neden oldu.” MOVEit Transfer kritik güvenlik açığı, tüm MOVEit Transfer sürümlerini etkiler.
1 Haziran’da bilgisayar korsanları adlı dosyayı bilgisayar korsanları düşürdü. insan2.aspx hedeflenen cihazda. Cyble Global Sensor Intelligence (CGSI) ağının gözlemlediğine göre, istismar ve kötü amaçlı komut alışverişi için aynı ada sahip bir arka kapı yüklendi.
MOVEit Transfer kritik güvenlik açığı, hizmeti kullanan kuruluşlardan verilerin toplu olarak indirilmesine izin verdi. Herkese açık olarak erişilebilen 2.500’den fazla MOVEit Transfer bulut sunucusunun savunmasız olduğu tespit edildi.
“Bir Shodan sorgusuna göre, 2 Haziran 2023 itibarıyla herkesin erişimine açık potansiyel olarak savunmasız 2.526 MOVEit Transfer bulut sunucusu vardı ve bunların yaklaşık dörtte üçü (%73,4) Amerika Birleşik Devletleri’nden, ardından %5 ile Birleşik Krallık ve 4,6 ile Almanya geliyordu. %,” dedi bir Tenable raporu.
MOVEit Transfer kritik güvenlik açığının Shodan sonuçları
Halka açık MOVEit örnekleri için Shodan araması aşağıdaki bulgularla sonuçlandı –
- 500’den fazla sistemin servis başlıklarında MOVEit var
- MOVEit favicon kullanılarak 2.500’den fazla sistem bulundu
Lace Tempest adlı bir siber suçlu grubu, MOVEit Transfer’in kritik güvenlik açığından zaten yararlanıyordu, Microsoft 5 Haziran’da tweet attı.
Tweet’te “Microsoft, CVE-2023-34362 MOVEit Transfer 0 günlük güvenlik açığından yararlanan saldırıları, fidye yazılımı operasyonları ve Cl0p gasp sitesini çalıştırmasıyla tanınan Lace Tempest’e atfediyor” dedi.
Tweet, MOVEit Transfer’i kullanan siber saldırılardan sorumlu siber suç grubunun aynı zamanda Cl0p fidye yazılımı grubunun şantaj web sitesini de idare ettiğini ortaya çıkardı.
Ara sıra, Fortra GoAnywhere MFT RCE güvenlik açığı CVE-2023-0669’dan yararlanan, P&G ve Hitachi gibi küresel şirketlerden şehir yönetimlerine ve bölgesel hükümetlere kadar dünya çapında kurbanlar talep eden Cl0p fidye yazılımıydı.
Tweet’in devamında, Lace Tempest grubunun geçmişte benzer güvenlik açıklarından yararlandığı ve hedeflerden zorla para almak için verileri çaldığı belirtildi.
MOVEit Transfer kritik güvenlik açığı: Cl0p etkisi
Cl0p fidye yazılımı grubu, veri aktarım olanaklarıyla birden fazla müşteriye hizmet veren veya hizmet veren kuruluşları bilinçli olarak hedef alıyor.
“Clop Ransomware grubu, GoAnywhere dosya aktarım hizmetini birden fazla kuruluştan zorla veri almak için kullandı; bu, Tehdit Aktörlerinin (TA’ların) casusluk, veri hırsızlığı ve fidye yazılımı amaçları için kullanılabilecek savunmasız internete maruz kalan varlıklara büyük ilgi gösterdiğini gösteriyor. , ”diye belirtti bir Cyble blog gönderisi.
2020’de Cl0p fidye yazılımı grubu, Accellion’la ilişkili 100’den fazla şirketten çok büyük verileri çalmak için Accellion’ın eski dosya aktarım aracını hedef aldı. 10 milyon dolar fidye istediler. Grup, gizlilik ihlallerine ve veri sızıntılarına yol açan tüm saldırılardan elde edilen verileri kademeli olarak yayınladı.
MOVEit Transfer kritik güvenlik açığı için yama mevcut
Yaklaşık 300 müşterinin hala yazılımın eski sürümlerini kullandığı tespit edildi. Accellion, yaptığı basın açıklamasında, güvenlik açığından geniş çapta yararlanılmasının ardından şirket tarafından 20 yıldan daha eski dosya aktarım araçlarının kullanıldığının tespit edildiğini ekledi.
MOVEIt Transfer’deki güvenlik açığı için yamalar Progress tarafından kullanıma sunuldu ve yayınlandı. Kullanıcılardan güncellemeleri hemen yüklemeleri veya tüm HTTP ve HTTPs trafiğini devre dışı bırakmak gibi düzeltme adımlarını gerçekleştirmeleri istenir. Meşru olmayan kullanıcı hesaplarını incelemek ve silmek.