Şirket Perşembe günü bir danışma belgesinde, Progress Software’in yeni bir MOVEit Transfer güvenlik açığı keşfettiğini söyledi ve Progress’in 31 Mayıs’ta yönetilen dosya aktarım hizmetleriyle ilişkili sıfır günü açıklamasından bu yana üçüncü oldu. İlk güvenlik açığı olan CVE-2023-34362’yi takip etti bir saniye, CVE-2023-35036, geçen hafta.
İlerleme, tüm MOVEit Transfer müşterilerini, kuruluşlar yamayı uygulayana kadar MOVEit aktarım ortamlarına yönelik tüm HTTP ve HTTP trafiğini derhal devre dışı bırakmaya yönelik önlemler de dahil olmak üzere, yeni ayrıcalık yükseltme güvenlik açığı CVE-2023-35708’i ele almak için acil adımlar atmaya teşvik ediyor.
“İlgili konuyu araştırmaya devam ederken Oynat bulut ve Oynat Bir MOVEit sözcüsü Cybersecurity Dive’a e-postayla yaptığı açıklamada, daha önce bildirdiğimiz aktarıma göre, bağımsız bir kaynak kötü bir aktör tarafından yararlanılabilecek yeni bir güvenlik açığı ortaya çıkardı. “Şu anda, bu yeni güvenlik açığından yararlanıldığına dair göstergeler görmedik. Bu sorunu ele almak için bir yama geliştirdik ve müşterilerle ortamlarını daha da sağlamlaştırmak için atmaları gereken adımlar hakkında iletişim kuruyoruz.”
Bilgilendirme, Siber Güvenlik ve Altyapı Güvenliği Dairesi yetkililerinin “az sayıda” federal kurumun CISA’nın Clop fidye yazılımı çetesine atfettiği kampanyadan etkilendiğini açıklamasından hemen sonra geldi.
Yine de daha fazla uzlaşma için bir fırsat var. Uzmanlar, güvenlik açıkları ortaya çıktıktan sonra istismarın biraz yarışa dönüşebileceğini söylüyor. Rick Holland’a göre, sıfır gün istismarları halka açık hale geldiğinde, dünyanın dört bir yanından tehdit aktörleri onları hedef almak için hızla harekete geçiyor. CISOofisi CISOde ReliaQuest Cybersecurity Dive’a e-postayla gönderilen bir bildiride.
“Eğer koşuyor olsaydım Oynat yazılım, bu yeni güvenlik açığı ayrıca alınmasını haklı çıkaracaktır. Oynat hizmetler çevrimdışı” dedi. “Bu güvenlik açıklarının hızı göz önüne alındığında, dikkat ve riskler, ek güvenlik açıklarının ortaya çıkması riskini almak için çok yüksek. Progress araştırmasına ve kod incelemelerine devam ederken alternatif bir çözüm arardım.”
CISA, kampanyanın büyük ölçüde fırsatçı olduğunu ve yaygın olmadığını düşünüyor, ancak birkaç yüz kurban öne çıktı ve Clop, sızıntı sitesinde kurbanların isimlerini açıklamaya başladı.
CISA Direktörü Jen Easterly Perşembe günü yaptığı basın toplantısında, “Bu kampanyadan çok endişe duymamıza ve üzerinde acilen çalışmamıza rağmen, bu SolarWinds gibi ulusal güvenliğimiz için sistemik bir risk oluşturan bir kampanya değil.” CISA, yeni açıklanan güvenlik açığı hakkında yorum taleplerine yayın saatine göre yanıt vermedi.
Holland, Clop’un federal ajans hizmetini tehlikeye atmak için hangi MOVEit güvenlik açıklarından yararlandığı belirsiz olsa da, “bilinen güvenlik açıkları ne kadar uzun süre azaltılmazsa, birden fazla tehdit aktörünün bunları kullanma şansı o kadar yüksek” dedi.
Huntress’te bir ürün mimarı olan Sharon Martin, etkilenen federal kurumların çoğunun orijinal güvenlik açığından etkilenmiş olabileceğini söylüyor. Martin, “Muhtemelen tehdit aktörü halka açılmadan önce fidye hakkında özel temas kurmaya çalıştığından, uzlaşmadan kamu fidye talebi duyurularına kadar bir gecikme gördük” dedi.
Daha fazla kuruluş tehlikeye girdi
Clop, yüzlerce kuruluşu istismar ettiğini ve birçoğunun bir ihlali ifşa etmeye başladığını iddia ediyor. Emsisoft Tehdit Analisti Brett Callow, 63 bilinen ve onaylanmış kurban Cuma gününden itibaren, artı belirtilmemiş sayıda ABD devlet kurumu.
Louisiana Motorlu Taşıtlar Ofisi, “eyalet tarafından verilmiş ehliyet, kimlik veya araba ruhsatı olan tüm Louisianalıların” adları, adresleri, sosyal güvenlik numaraları ve araç tescil numaraları dahil olmak üzere bazı verilerinin muhtemelen açığa çıktığını söyledi. Bir açıklamada.
Oregon Ulaştırma Bakanlığı da kampanyanın bir parçası olarak, yaklaşık 3,5 milyon Oregon kimliği ve ehliyet sahibinin bilgileri de dahil olmak üzere verilere erişti.
Bakanlık Perşembe günü yaptığı açıklamada, “Analizimiz, MOVEit Transfer aracılığıyla paylaşılan ve güvenlik uyarısını almadan önce yetkisiz aktörler tarafından erişilen birden fazla dosya belirledi.” Dedi. “Belirli bir kişinin verilerinin ihlal edilip edilmediğini belirleme yeteneğimiz yok.”
Raporlar, Enerji Bakanlığı da dahil olmak üzere Perşembe günü federal kurumları etkiledi. DOE, yorum taleplerine yayın saatine kadar yanıt vermedi.
Easterly, “Bildiğimiz kadarıyla, bu aktörler yalnızca dosya aktarım uygulamasında özel olarak izinsiz girişin meydana geldiği zamanda depolanan bilgileri çalıyorlar” dedi. İzinsiz girişlerin, hedeflenen sistemlere erişim elde etmek veya belirli, yüksek değerli bilgileri çalmak için kullanılmadığını söyledi.
Bir yetkili, CISA’nın askeri şubeler üzerindeki herhangi bir etkiden haberdar olmadığını ve hiçbir federal kurumun haraç talebi almadığını ve federal verilerin sızdırılmadığını söyledi. Bu noktada CISA, MOVEit’in hafifletilmemiş örneklerini çalıştıran herhangi bir federal kurumun farkında değildir.
ReliaQuest’ten Holland, Clop’un sızıntı sitesinde herhangi bir hükümet verisi açıklamayacağından şüpheleniyor çünkü alenen devlet kurumlarının peşine düşmek şantajcılara yönelik riskleri artırabilir.
Holland’a göre Clop, geçen hafta yaptığı duyuruda “Hükümet, şehir veya polis teşkilatıysanız merak etmeyin, tüm verilerinizi sildik. Bizimle iletişime geçmenize gerek yok. Bu tür bilgileri ifşa etmekle hiçbir ilgimiz yok.”
Censys’e göre, ilk güvenlik açığı ifşa edilmeden veya yama yapılmadan önce 3.000’den fazla MOVEit ana bilgisayarı internete maruz kaldı. Ancak halka açık internete maruz kalan MOVEit Transfer uygulamalarının çoğalması, birçok kuruluşun güvenliğinin ihlal edildiği anlamına gelmez.
Üst düzey bir CISA yetkilisi, MOVEit uygulamasının kullanımının güvenlik açığı veya uzlaşma göstergesi olmadığını vurguladı.
Censys araştırmasına göre, MOVEit çalıştıran kuruluşların yaklaşık üçte biri finansal hizmetler endüstrisinden, %16’sı sağlık sektöründe, %9’u bilgi teknolojisinde ve %8’i devlet veya ordudaydı.
Güvenlik araştırmasından sorumlu Emily Austin, “Verilerimizin toplanma şekline ve sahip olduğumuz görünürlüğe bağlı olarak, internette MOVEit çalıştıran ana bilgisayarları görebiliyoruz, ancak bunların hedef alınıp alınmadığını veya ele geçirilip geçirilmediğini belirlemenin hiçbir yolu yok” dedi. Censys’te yönetici ve kıdemli araştırmacı, e-postayla gönderilen bir bildiride.
Yine de Censys, sunucuların 60’tan fazlasının ABD federal ve eyalet kuruluşları olduğunu belirleyebildi.
Huntress, etkilenen kurbanların genel olarak paylaşılanların veya karanlık ağda yayınlananların ötesindeki toplam kapsamının farkında değil. Ancak Martin, MOVEit’in Federal Bilgi İşleme Standartlarına bağlı olduğunu, dolayısıyla “FIPS 140-2 uyumlu bir dosya aktarım çözümüne ihtiyaç duyan devlet, finans, eğitim ve diğer sektörlerde” yaygın bir kullanıcı tabanına sahip olduğunu kaydetti.
Şimdiye kadar, CISA’nın değerlendirmesi, izinsiz girişlerin çoğunun, olayın Mayıs sonunda ifşa edilmesinden kısa bir süre sonra meydana geldiği, çünkü tehdit aktörünün, risk azaltma önlemlerini uygulamadan önce savunmasız kuruluşları tehlikeye atmak için hızla hareket ettiği yönünde.
Bir yetkili, teşkilatın MOVEit kampanyasına federal maruziyeti sınırlamak için hızla harekete geçtiğini ve bunun izinsiz giriş gerçekleşmeden önce birçok savunmasız durumun hafifletilmesiyle sonuçlandığını söyledi. CISA’nın uygulamanın güvenlik açığı bulunan sürümlerini çalıştıran federal kuruluşları belirlediği durumlarda hafifletmeler uygulandı.