CISA, bilinen istismar edilen güvenlik açıkları listesine Progress MOVEit Transfer yönetilen dosya aktarımı (MFT) çözümünde aktif olarak istismar edilen bir güvenlik açığı ekledi ve ABD federal kurumlarının sistemlerini 23 Haziran’a kadar yamalamalarını emretti.
Kritik kusur (CVE-2023-34362 olarak izlenir), kimliği doğrulanmamış, uzaktaki saldırganların MOVEit Transfer’in veritabanına erişmesine ve rasgele kod yürütmesine olanak tanıyan bir SQL enjeksiyon güvenlik açığıdır.
Kasım 2022 bağlayıcı operasyonel direktifine (BOD 22-01) göre, Federal Sivil Yürütme Organları (FCEB), CISA’nın Bilinen Yararlı Güvenlik Açıkları kataloğuna eklendikten sonra bu güvenlik açığını düzeltmelidir.
BOD 22-01, öncelikli olarak federal kurumlara odaklanırken, özel şirketlerin de sistemlerini aktif olarak istismar edilen bu MOVEit Transfer kusuruna karşı korumaya öncelik vermesi önemle tavsiye edilir.
Progress, tüm müşterilere, istismar girişimlerini ve olası ihlalleri engellemek için MOVEit Transfer bulut sunucularına yama uygulamalarını tavsiye ediyor.
Güvenlik güncellemelerini hemen uygulayamayanlar, saldırı yüzeyini uzaklaştırmak için MOVEit Transfer ortamlarına giden tüm HTTP ve HTTPS trafiğini de devre dışı bırakabilir.
Etkilenen MOVEit Transfer sürümlerinin ve düzeltilen sürümlerin listesini aşağıdaki gömülü tabloda bulabilirsiniz.
Şu anda İnternette çoğu Amerika Birleşik Devletleri’nde bulunan 2.500’den fazla MOVEit Transfer sunucusu bulunmaktadır.
Mandiant CTO’su Charles Carmakal’a göre, Progress’in bunu kamuya ifşa etmesinden ve savunmasız sistemler için güvenlik yamalarını test etmeye başlamasından dört gün önce, tehdit aktörleri CVE-2023-34362’yi sıfır gün güvenlik açığı olarak en az 27 Mayıs’tan beri kullanıyor.
Carmakal, BleepingComputer’a “Son birkaç gün içinde kitlesel istismar ve geniş kapsamlı veri hırsızlığı meydana geldi” dedi.
“Mandiant, tehdit aktörünün motivasyonunu henüz bilmese de, kuruluşlar çalınan verilerin olası gasp ve yayımına karşı hazırlıklı olmalıdır.”
Web kabuklarını düşürmek ve verileri çalmak için kullanıldı
BleepingComputer’a, yeni keşfedilen bir web kabuğu (Mandiant tarafından LemurLoot olarak adlandırılan) yardımıyla birden fazla kuruluşun ihlal edildiği ve verilerinin çalındığı söylendi.
LemurLoot, saldırganların, kurbanların Azure Blob Depolama kapsayıcılarından veri sızdırmak için kullanılabilecek kimlik bilgileri de dahil olmak üzere Azure Blob Depolama hesabı bilgilerini toplamasına yardımcı olur.
Mandiant ayrıca MOVEit Transfer sunucularını hedef alan saldırılar ile Clop fidye yazılımı çetesinin diğer dosya aktarım sistemlerindeki sıfır günlerin sömürülmesinin ardından sızıntı sitesi aracılığıyla veri hırsızlığı gasp girişimleriyle bilinen FIN11 mali güdümlü tehdit grubu arasında olası bağlantılar buldu.
Henüz kurbanlarından şantaj yapmaya başlamadıkları için saldırganların kimliği şu an için bilinmiyor.
Bununla birlikte, istismar yöntemi, Aralık 2020’de Accellion FTA sunucularının sıfır günlük kullanımı ve Ocak 2023’te bir GoAnywhere MFT sıfır gününün toplu kullanımı dahil olmak üzere önceki örneklerle dikkate değer bir benzerlik taşıyor.
Hem GoAnywhere MFT hem de Accellion FTA, kötü şöhretli Clop fidye yazılımı çetesi tarafından verileri çalmak ve kurbanları gasp etmek için hedef alınan, yönetilen dosya aktarım platformlarıdır.