Savunmasız MOVEit Transfer bulut sunucularına yönelik devam eden saldırıların ilk kurbanları ortaya çıkıyor. Cl0p fidye yazılımı çetesi, saldırıların arkasında kendisinin olduğunu iddia ediyor.
2 Haziran 2023 Cuma günü, aktif olarak istismar edilen bir MOVEit Transfer güvenlik açığı hakkında rapor verdik. Kuruluşunuz MOVEit Transfer kullanıyorsa ve henüz yama uygulamadıysanız, onu taşımanın tam zamanı.
Kötü kelime oyununu affedin ama dün bu güvenlik açığının ilk kurbanlarının ortaya çıktığını gördük. MOVEit Transfer, dosyaları şifreleyen ve verileri aktarmak için güvenli Dosya Aktarım Protokolleri kullanan, yaygın olarak kullanılan bir dosya aktarım yazılımıdır. Bu nedenle, sağlık, eğitim, ABD federal ve eyalet hükümeti ve finans kurumlarında geniş bir kullanıcı tabanına sahiptir.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanmış bilgisayar güvenlik açıklarını listeler. Cuma günü CVE henüz atanmamıştı, ancak şimdi bu güvenlik açığı şu şekilde listelendi:
CVE-2023-34362: 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) ve 2023.0’dan önce MOVEit Aktarımı Devam Ediyor. 1 (15.0.1) sürümünde, MOVEit Transfer web uygulamasında kimliği doğrulanmamış bir saldırganın MOVEit Transfer veritabanına erişmesine izin verebilecek bir SQL enjeksiyon güvenlik açığı bulundu. Kullanılan veritabanı altyapısına (MySQL, Microsoft SQL Server veya Azure SQL) bağlı olarak, bir saldırgan veritabanının yapısı ve içeriği hakkında bilgi çıkarabilir ve veritabanı öğelerini değiştiren veya silen SQL deyimlerini yürütebilir. NOT: Bu, Mayıs ve Haziran 2023’te vahşi ortamda istismar edildi; Yama uygulanmamış sistemlerin istismarı HTTP veya HTTPS yoluyla gerçekleşebilir. Desteklenmeyen eski sürümler de dahil olmak üzere, açıkça belirtilen beş sürümden önceki tüm sürümler (ör. 2020.0 ve 2019x) etkilenir.
Microsoft diyor MOVEit örneklerine yönelik saldırıların arkasındaki grubun, bilinen bir fidye yazılımı operatörü olan ve şantaj web sitesi Cl0p’yi işleten Lace Tempest grubu olduğu. Bu, Bleeping Computer’ın bir Cl0p temsilcisi tarafından doğrulandı ve suçluların 27 Mayıs’ta ABD Anma Günü tatili sırasında güvenlik açığından yararlanmaya başladığını da söyledi.
Mart ayında, Cl0p’nin o ayki Fidye Yazılımı İncelememizde en çok kullanılan fidye yazılımı olarak ilk sırayı almasına neden olan benzer bir senaryonun ortaya çıktığını gördük. Kapsamlı GoAnywhere kampanyası, Cl0p’nin bir numaraya yükselmesine katkıda bulundu. Grup, yaygın olarak kullanılan yönetilen dosya aktarım yazılımı GoAnywhere MFT’deki sıfırıncı gün güvenlik açığından yararlanarak 104’ün üzerinde kuruluşu başarıyla ihlal etti.
Daha önce de belirttiğimiz gibi, fidye yazılımı çeteleri artık uzun oyunu oynamayı göze alabilir. Ve bazıları öyle. Aralarından seçim yapabileceğiniz yüzlerce hatta binlerce kurbanınız olduğunda, ödeme yapma olasılığı en yüksek olan en sulu olanlarla başlarsınız.
British Airways ve BBC’ye hizmet veren bordro sağlayıcısı Zellis buna iyi bir örnek olabilir. İngiltere ve İrlanda’da 57.000’den fazla kişiyi istihdam eden eczane zinciri Boots da etkilendiğini açıkladı.
Cl0p fidye yazılımı çetesiyle içeriden bağlantısı olan bir Reuters muhabiri, bağlantısının ekran görüntüsünü tweet’leyerek ordunun, hükümetin, çocuk hastanelerinin ve polisin saldırıya uğramayacağını söyledi.
Aynısı BleepingComputer’ın bağlantısı tarafından tekrarlandı. Ancak bu bir garanti değildir ve sonunda yine de bu ağlardan veri çalma dürtüsüne karşı koyamayabilirler.
Tüm bunlar, kuruluşunuz MOVEit Transfer kullanıyorsa ve internete dönükse, ağınızın ihlal edildiğini varsaymanız gerektiği anlamına gelir. Henüz bir şey fark etmemiş olmanız, muhtemelen arzu edilen hedefler listesinde alt sıralarda olduğunuz anlamına gelir. Bu, şanslı olduğunuz anlamına gelmez ve yalnızca güvenlik açığını düzeltmeniz yeterlidir.
Ne yapılması gerekiyor
Öncelikle MOVEit Transfer kullanıcılarının bu güvenlik açığı ile ilgili olarak Progress güvenlik bültenini ziyaret etmeleri ve yer imlerine eklemeleri gerekmektedir. En son tavsiyeleri, Uzlaşma Göstergelerini (IOC’ler), etkilenen sürümleri ve mevcut yamaları burada bulabilirsiniz.
Temel olarak tavsiye ve sayfada ayrıntılı talimatlar bulabilirsiniz:
- MOVEit Transfer ortamınıza giden tüm HTTP ve HTTP trafiğini devre dışı bırakın.
- Yetkisiz dosyaları ve kullanıcı hesaplarını silin.
- Etkilenen sistemler ve MOVEit Hizmet Hesabı için hizmet hesabı kimlik bilgilerini sıfırlayın.
- Yamayı uygulayın veya yükseltin.
- Dosyaların başarıyla silindiğini ve yetkisiz hesap kalmadığını doğrulamak için doğrulayın.
- MOVEit Transfer ortamınıza yönelik tüm HTTP ve HTTP trafiğini yeniden etkinleştirin.
- IoC’ler için ağınızı, uç noktalarınızı ve günlüklerinizi izlemeye devam edin.
Ayrıca, Microsoft Azure entegrasyonu ile MOVEit Transfer kullanıcıları, Azure depolama anahtarlarını döndürmek için hemen harekete geçmelidir.
Bu güvenlik açığıyla ilgili önceki yazımızda, kötü amaçlı yapıtları bulmanıza yardımcı olacak birkaç araçtan bahsetmiştim:
Malwarebytes kötü amaçlı web kabuğu C:\MOVEitTransfer\wwwroot\human2.aspx’i Exploit.Silock.MOVEit olarak algılar ve beş kötü amaçlı IP adresini engeller—138.197.152.201, 209.97.137.33, 5.252.191.0/24, 148.113.152.144, 89.39.105.108 — savunmasız sistemleri aradıkları tespit edildi.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE