Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , Gizlilik
Uzmanlar, Sıfırıncı Gün Açıklığını Düzeltmek İçin Hızlı Dosya Aktarımı Yazılımına Yama Uygulaması İstiyor
Mathew J. Schwartz (euroinfosec) •
13 Şubat 2023
Saldırganlar, sistemlerin tam kontrolünü ele geçirmek ve bazı durumlarda fidye yazılımı dağıtmak için yaygın olarak kullanılan yönetilen dosya aktarım yazılımı GoAnywhere MFT’deki sıfırıncı gün güvenlik açığından aktif olarak yararlanıyor.
Ayrıca bakınız: Gizlilik ve Güvenlik – Politikadan Kontrollere Yolculuk
Güvenlik uzmanları, yazılımın yönetici konsolunda bulunan kusurun, kimlik doğrulaması yapılmadan veya başka bir şekilde konsolda oturum açmadan kullanılabileceğini ve saldırganların sunuculara kabuk erişimi verdiğini bildiriyor. Yazılım için 1.000’den fazla yönetici bağlantı noktası internete açık durumda ve istismar edilme riski altında görünüyor.
CVE-2023-0669 olarak adlandırılan güvenlik açığı, yönetilen dosya aktarımı olarak da bilinen GoAnywhere MFT’nin 7.1.2’den önceki sürümlerinde bulunmaktadır. Yazılım, daha önce HelpSystems olarak bilinen Fortra tarafından satılmaktadır.
ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi, Bilinen Yararlanılan Güvenlik Açıkları Kataloğunda “GoAnywhere MFT, Saldırgan kontrollü bir nesnenin seri durumundan çıkarılması nedeniyle Lisans Yanıt Sunucu Uygulamasında kimlik doğrulama öncesi uzaktan kod yürütme güvenlik açığı içeriyor” uyarısında bulunuyor.
Fortra’nın 1 Şubat’ta yayınlanan ilk güvenlik uyarısı, kullanıcılara servlet’i devre dışı bırakmalarını tavsiye etti ve bunun için talimatlar sağladı. Salı günü Fortra, sunucu uygulamasını devre dışı bırakmak zorunda kalmadan sorunu yamalayan yazılımın 7.1.2 sürümünü yayınladı.
Şirket, güvenlik uyarısında “Tüm GoAnywhere MFT müşterilerine acilen bu yamayı uygulamalarını tavsiye ediyoruz” diyor. “Özellikle internete açık bir yönetici portalı çalıştıran müşteriler için bunu acil bir mesele olarak değerlendiriyoruz.” Ayrıca, tüm kullanıcıların internete açık yönetim konsolları için erişim denetimlerinin mevcut olduğundan emin olmalarını önerir.
Şirket, mevcut tüm kullanıcıların bu güvenlik açığını tamamen gidermek için derhal GoAnywhere MFT 7.1.2’ye yükseltmeleri gerektiğini söylüyor. “Yükleyiciyi değil, yükselticiyi indirdiğinizden emin olun.”
Yazılım şirket içinde dağıtılabilir; AWS ve Microsoft Azure gibi platformlar aracılığıyla bulutta; Fortra tarafından sunulan barındırılan, hizmet olarak yazılım planı aracılığıyla; ve hibrit ortamlarda.
Clop Kurbanları İddia Ediyor
En az bir fidye yazılımı grubu, kurbanları bir araya toplamak için zaten kusurdan yararlandığını iddia ediyor. Bleeping Computer, Clop fidye yazılımı çetesinin Cuma günü proaktif bir şekilde son 10 gün içinde 130 farklı kuruluş tarafından kullanılan ağları ihlal etmek için kusurdan yararlandığını bildirdiğini bildirdi. Çetenin iddiaları doğrulanamadı.
Yönetilen güvenlik platformu sağlayıcısı Huntress’in tehdit istihbaratı yöneticisi Joe Slowik, Çarşamba günü GoAnywhere MFT’yi hedef alan yakın tarihli bir saldırının, daha önce Clop fidye yazılımı dağıtmış bir grup tarafından izlenebileceğini bildirdi.
Slowik, izlemekte olduğu yönetilen bir ana bilgisayara yönelik saldırının 2 Şubat’ta meydana geldiğini ve ana bilgisayarın, “kötü amaçlı bir dosyanın indirilmesi ve çalıştırılmasıyla sonuçlanan bir tür web sunucusu ihlali” yaşadığını söylüyor. “GoAnywhereMFT hizmetleri için belirlenmiş.”
Saldırıda kullanılan bir DLL dosyasının analizine dayanarak Slowik, kötü amaçlı yazılımın, Rusça konuşan Silence grubu tarafından bir kurbanın ağına ilk erişim elde etmek için kullanılan Truebot kötü amaçlı yazılımının güncellenmiş bir sürümü gibi göründüğünü bildirdi. ilk olarak 2016’da tespit edildi. Faaliyetleri, TA505 kod adlı siber suç grubununkilerle bağlantılı ve Clop fidye yazılımı dağıtımını içeriyor.
Slowik, “Gözlemlenen eylemlere ve önceki raporlara dayanarak, Huntress’in gözlemlediği etkinliğin, aynı amaçla GoAnywhere MFT’nin potansiyel olarak ek fırsatçı istismarıyla fidye yazılımı dağıtmayı amaçladığı sonucuna varabiliriz.”
Güvenlik Uyarısı: Erişim Engeli
Bu açıktan yararlanmaya yönelik bilinen ilk saldırılar 25 Ocak’ta başladı. Şirket, tüm kullanıcılara saldırılarını gözden geçirmelerini tavsiye ediyor. goanywhere.log dosyaları, tanınmayan kullanıcı adlarına sahip yönetici kullanıcı veya web kullanıcı hesapları ve yasal hiç kimsenin yapmayacağı bir durumda oluşturulan hesaplar dahil olmak üzere şüpheli etkinlik belirtileri için dosyalar.
Güvenlik açığının ayrıntılarına erişmek, önce Fortra’da bir hesap oluşturmayı gerektirir. Bunu yapmak ücretsiz olsa da, güvenlik uzmanları şirketi ayrıntıları doğrudan erişilebilir yapmamakla eleştirdiler.
Güvenlik şirketi Rapid7, güvenlik açığı analizinde “Güvenlik tavsiyelerini bir müşteri portalının arkasına saklamak, kesinlikle önermediğimiz bir şeydir” diyor. “Bu tür bilgilerin halka açık olması, kullanıcıların mümkün olduğunca kolay bir şekilde bilgi sahibi olabilmesi ve kendilerini koruyabilmesi için idealdir.”
Bunun yerine, uyarının halka açık ilk ayrıntıları, 2 Şubat’ta güvenlik bildirimini kesip bir Mastodon gönderisine koyan siber güvenlik blog yazarı Brian Krebs sayesinde geldi.
Siber güvenlik uzmanı Kevin Beaumont, Krebs’in gönderisine yanıt olarak o gün, bir Shodan aramasının potansiyel olarak savunmasız 1.008 sistem ortaya çıkardığını ve bunların 153’ü tarafından 8000 numaralı bağlantı noktasının kullanıldığını bildirdi. Bir Mastodon gönderisinde “Port 8000 (HTTPS olmayan) ve 8001 (HTTPS) yönetici portlarıdır” dedi. “İnternete açık olan yönetici bağlantı noktalarının neredeyse tamamı 8000 numaralı bağlantı noktasıdır, çünkü neden şifreleme kullanıyorsunuz?”
Pazartesi günü itibariyle, bir Shodan araması, 8000 numaralı bağlantı noktasının etkinleştirildiği örneklerin 153’ten 137’ye düşmesine rağmen, potansiyel olarak ifşa olan yönetici arabirimlerinin sayısının 1.031’e çıktığını gösterdi.
Kavram Kanıtı İstismar Kodu
Kusurun ayrıntıları 1 Şubat’ta kamuoyuna duyurulduktan sonra, hemen ardından kavram kanıtı istismar kodu geldi.
6 Şubat’ta güvenlik araştırmacısı ve profesyonel kırmızı ekip üyesi Florian Hauser, namı diğer @frycosaltta yatan seri kaldırma hatasının ayrıntılarını ve kusur için bir kavram kanıtı istismarını yayınladı.
Çarşamba günü Rapid7, kusurdan yararlanmak için kendi kavram kanıtı kodunu yayınladı. Güvenlik açığından, GoAnywhere MFT’nin varsayılan olarak 8000 numaralı bağlantı noktasına ayarlanan yönetim bağlantı noktasına uzaktan erişim sağlanarak yararlanılabileceğini bildiriyor, “ancak bu, dahili bir kullanıcının tarayıcısı aracılığıyla da kullanılabilir.”
Perşembe günü Metasploit açık kaynaklı penetrasyon testi çerçevesine kusur için bir istismar eklendi.
Birçok GoAnywhere MFT kullanıcısı arasında İç Güvenlik Departmanının bir parçası olan CISA da vardır. CISA, yazılımı, bireylerin bilgileri veya kötü amaçlı dosyaları incelenmek üzere göndermesini sağlayan güvenli dosya bırakma hizmeti için kullanır. CISA’nın hizmeti – muhtemelen bir yama gelene kadar – askıya alınmıştı, ancak Pazartesi sabahı geri yüklendi.