Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar, Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü
Dosya Aktarım Yazılımının Bir veya Daha Fazla Grup Tarafından Kullanılması; Satıcı Yamaları Zorluyor
Mathew J. Schwartz (euroinfosec) •
16 Aralık 2024
Fidye yazılımı grubu Clop, Cleo Communications tarafından oluşturulan yönetilen dosya aktarım yazılımı örneklerinin hacklenmesinin sorumluluğunu üstleniyor. Birçok büyük kuruluş, dosyaları güvenli bir şekilde aktarmak için MFT sunucu yazılımına güvenmektedir.
Ayrıca bakınız: Corelight’tan Brian Dye, NDR’nin Fidye Yazılımını Yenmedeki Rolü hakkında konuşuyor
Çok sayıda siber güvenlik firması, Rockford, Illinois merkezli Cleo tarafından geliştirilen Harmony, VLTrader ve LexiCom MFT yazılımlarını hedef alan toplu saldırılar gördüğünü bildirdi.
Pazar günü, Rusya merkezli olduğuna inanılan fidye yazılımı grubu Clop, diğer adıyla Cl0p, Bleeping Computer’ın ilk bildirdiği gibi saldırıların arkasında kendisinin olduğunu söyledi.
Fidye yazılımı operasyonunun mesajında ”Son olaylar nedeniyle (Cleo saldırısı) tüm şirketlerin verilerine olan tüm bağlantılar devre dışı bırakılacak ve veriler sunuculardan kalıcı olarak silinecek” denildi. “Sadece yeni şirketlerle çalışacağız.”
Dosya aktarım yazılımının tedarik zincirindeki uzlaşması, Clop’un daha önce kapsadığı bir alan ve araştırmacılar, Cleo saldırıları ile önceki Clop kampanyaları arasında önemli bir geçiş olup olmadığını görmek için kullanılan yararlanma kodu da dahil olmak üzere güvenlik ihlali göstergelerini inceliyor.
Daha önce çalınan verileri silme vaadi, Clop’un 2023 Anma Günü’nde MOVEit yazılımına karşı düzenlenen toplu saldırı sırasında çaldığı verilere bir referans gibi görünüyor. MOVEit olayından doğrudan veya dolaylı olarak etkilenen kuruluşların sayısı, verilerle birlikte 2.770’in üzerinde bulunuyor. Güvenlik firması Emsisoft, bu durumun 95 milyondan fazla kişinin maruz kaldığı bir durumla ilgili olduğunu hesaplıyor.
Clop’un, Cleo’nun MFT yazılımının çeşitli türlerini hedef alan saldırılardan gerçekten sorumlu olup olmadığı doğrulanamadı. Ayrı bir gelişmede, 10 Aralık’ta İngiliz siber güvenlik uzmanı Kevin Beaumont, fidye yazılımı grubu Termite’nin Cleo ürünlerindeki güvenlik açıklarına yönelik sıfır gün istismarına sahip olduğuna dair kanıtlar elde ettiğini bildirdi.
Güvenlik uzmanları, her iki grubun da ayrı ayrı ya da birlikte olaya karışmış olabileceğini söyledi.
Christiaan Beek, “Cl0p web sitesinde bir mesaj yayınlamış olsa da, bu tek bir tehdit grubunun olaya karıştığını gösteren kesin bir kanıt değil. Bu nedenle, bu istismarın arkasında Termite’in mi yoksa Cl0p’nin mi olduğuna dair herhangi bir tartışma, diğer göstergeler/kanıtlarla kanıtlanana kadar spekülasyondan ibarettir” dedi. Siber güvenlik firması Rapid7’nin tehdit analitiği kıdemli direktörü.
Beek, “Cl0p’nin, 2021’deki MOVEit ve Accellion FTA gibi daha önce birden fazla dosya aktarımı kullanım durumunda bu güvenlik açığına benzer karmaşık zincirler kullandığını gördük” diye ekledi. “Cl0p genellikle saf sıfır gün zincirleri veya güvenlik açıkları kullanıyor. Bu, ‘saf olmayan’ bir zincirdi, çünkü güvenlik açıklarından biri Cl0p onu kullanmaya başlamadan önce düzeltildi ve potansiyel olarak istismar edildi” veya en azından “bildiğimiz kadarıyla.”
Yeni Güvenlik Açığı Yaması
En son saldırıların kısmen yönetilen dosya aktarım ürünleri Cleo Harmony, VLTrader ve LexiCom’daki sınırsız dosya yükleme güvenlik açığı olan CVE-2024-50623’ü hedef aldığı görülüyor. Güvenlik açığından yararlanılması, saldırganların yükseltilmiş ayrıcalıklarla uzaktan kod yürütmesine olanak tanır.
Cuma günü, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, aktif fidye yazılımı saldırılarıyla bağlantılı olduğunu söyleyerek CVE-2024-50623’ü bilinen istismar edilen güvenlik açıkları kataloğuna ekledi.
WatchTowr tarafından geçen hafta yayınlanan bir istismar kanıtı, saldırganların CVE-2024-50623’ü kullanarak “herhangi bir dosyayı herhangi bir klasöre yazmak için” kullanabileceğini gösteriyor. path=..\..\..\Beaumont, sosyal platform Mastodon’daki bir gönderide şunları söyledi.
Şirketin Ekim ayı güvenlik tavsiyesinde Cleo’nun Harmony, VLTrader ve LexiCom’da her yazılım türünün 5.8.0.21 sürümünü yayınlayarak CVE-2024-50623’ü yamaladığı belirtildi.
Geçen hafta güvenlik uzmanları ilk olarak Cleo’nun CVE-2024-50623 yamasının sorunu çözüp çözmediğini sorguladılar. Siber güvenlik firması Huntress, 9 Aralık’ta yazılıma yönelik bir saldırının kavram kanıtını oluşturduğunu ve “yamanın yazılım kusurunu hafifletmediğini öğrendiğini” söyledi.
Rapid7’nin baş güvenlik araştırmacısı Stephen Fewer, Cleo ve siber güvenlik firması Huntress tarafından yayınlanan bilgilere göre saldırganların iki güvenlik açığını bir araya getiriyor olabileceğini söyledi. Özellikle, hedeflenen sisteme “kötü amaçlı bir ana bilgisayar dosyası yazmak” için yeni bir dosya yazma güvenlik açığı olan CVE-2024-55956’yı kullanıyor olabileceklerini ve daha sonra gerekli kimlik bilgilerini elde etmek için CVE-2024-50623’ten yararlanabileceklerini söyledi. kötü amaçlı ana bilgisayar dosyasını çalıştırarak uzaktan kod yürütmelerine olanak tanır.
Çarşamba günü Cleo, daha yeni olan kusuru gidermek için yeni bir güvenlik yaması yayınladı. Cleo, Cleo Harmony, VLTrader ve LexiCom’un 5.8.0.24’ten önceki sürümlerinde “kimliği doğrulanmamış bir kullanıcının, Otomatik Çalıştırma dizininin varsayılan ayarlarından yararlanarak ana bilgisayar sistemine isteğe bağlı Bash veya PowerShell komutlarını içe aktarabileceğini ve çalıştırabileceğini” söyledi.
Saldırı Süresi Belirsiz
Saldırganların bir veya her iki kusurdan ne kadar süredir yararlandığı belirsizliğini koruyor. Arctic Wolf Perşembe günkü blog yazısında, “Kampanya 7 Aralık’ta başladı ve bu makalenin yayınlanmasından itibaren devam ediyor” dedi.
Rapid7’nin güvenlik açığı istihbaratı direktörü Caitlin Condin, Pazartesi günü Mastodon’a yazdığı bir gönderide, Cleo’nun ekim ayında yamaları yayımladığında, aynı zamanda “eski hatanın bir dakikalığına istismar edildiğini ima ederek” uzlaşma göstergelerini de paylaştığını söyledi. “Bu istismarı kimin yaptığı hakkında daha fazla bilgi sahibi olmak kesinlikle faydalı olacaktır, özellikle de geçen haftaki saldırının sorumluluğunu Cl0p üstlendiği için.”
Şu ana kadar Cleo hedefleme kampanyası, Progress Software’in MOVEit güvenli dosya aktarım yazılımı veya Accellion FTA kullanıcılarına yönelik toplu saldırılara kayda değer bir şekilde benzemiyor. Yani, serpinti çok daha az görünüyor.
Beaumont, “Bence Cleo olayı endüstrinin ve toplumun çok iyi çalıştığını gösteriyor” dedi.
Cuma gününe kadar tüm savunmasız sunucuların yaklaşık üçte ikisinin ya yamalanmış ya da geçici olarak çevrimdışına alınmış gibi göründüğünü söyledi. “Bildiğim kadarıyla kitlesel sömürü başladığından beri (önemli uyarı) kurbanların hiçbirinin fidye yazılımı gibi devam eden faaliyetleri olmadı” dedi. “Bu gerçekten iyi bir sonuç. Bence bunun nedeni açıklık ve şeffaflık. Huntress halka erkenden açıldı ve toplulukta herkes bunu yüksek sesle dile getirdi. Daha açık olun.”