Yönetişim ve Risk Yönetimi, Yama Yönetimi, Güvenlik Operasyonları
Saldırganlar Yönetilen Dosya Aktarımı Yazılımındaki Açıkları Hedefliyor
Prajeet Nair (@prajeetspeaks) •
11 Aralık 2024
Huntress güvenlik araştırmacıları, Cleo Communications tarafından üretilen dosya aktarma yazılımının aktif saldırı altında olduğunu ve bilgisayar korsanlarını engellemeye yönelik bir yamanın bu kusuru gidermediğini söylüyor.
Ayrıca bakınız: Active Directory Masterclass | Bir Saldırgan Gibi Düşünün, Bir Profesyonel Gibi Savun
Bilgisayar korsanları, CVE-2024-50623 olarak takip edilen rastgele bir dosya yazma güvenlik açığından ve Cleo yazılımındaki dosyaları otomatik çalıştırma dizininde otomatik olarak çalıştıran bir özellikten yararlanıyor.
Huntress, ilk olarak 3 Aralık’ta Cleo’nun LexiCom, VLTransfer ve Harmony yazılım ürünlerini etkileyen bir güvenlik açığını tespit ettiğini söyledi. Özel bir şirket olan Illinois dosya aktarım şirketi Pazartesi günü bir yama yayınladı ancak Huntress aynı gün, düzeltmenin “yazılım kusurunu hafifletmediğini” yazdı.
Siber güvenlik araştırmacıları, Cleo çalışanlarının Zoom görüşmesi sırasında ikinci bir yama geliştirme sözü verdiklerini söylüyor. Çarşamba öğleden sonra Cleo, CVE tanımlayıcısının “beklemede” olduğu, uzaktan kod yürütülmesine yol açabilecek, kimliği doğrulanmamış kötü amaçlı bir ana bilgisayar güvenlik açığı tespit ettiğini söyledi.
E-postayla gönderilen bir açıklamada, Cleo sözcüsü, şirketin derhal “dışarıdan siber güvenlik uzmanlarının yardımıyla bir soruşturma başlattığını, müşterileri bu sorun hakkında bilgilendirdiğini ve müşterilerin bir yama geliştirilirken güvenlik açığını gidermek için derhal atmaları gereken hafifletme adımlarını sağladığını söyledi. Araştırmamız” devam ediyor.”
Huntress, Cleo müşterilerine otomatik çalıştırma dizinindeki içerikleri silmelerini tavsiye ederek bu işlev üzerinden saldırı yollarını devre dışı bıraktı. Huntress, “Bu, bir yama yayınlanana kadar rastgele dosya yazma güvenlik açığını engellemeyecektir” diye uyardı.
Cleo dosya aktarım yazılımı, büyük ölçekli lojistik ve tedarik zinciri operasyonlarının olduğu sektörlerde kullanılmaktadır. Huntress, Cleo sunucularının ele geçirildiği “en az 10 işletmenin” tespit edildiğini ve “8 Aralık 07:00 UTC civarında istismarda dikkate değer bir artış gözlemlendiğini” yazdı. Cleo hack sorunu yaşayan müşterilerin çoğunluğu tüketici ürünleri, gıda veya sanayi, kamyon taşımacılığı ve nakliye sektörleriyle ilgilidir. Shodan’da yapılan bir arama, büyük çoğunluğu Amerika Birleşik Devletleri’nde bulunan 436 savunmasız sunucuyu gösterdi.
Saldırı zinciri, bilgisayar korsanlarının otomatik çalıştırma dizinine kötü amaçlı dosyalar yerleştirmesiyle ve otomatik yürütmeyi tetiklemesiyle başlar. Dosyalar, saldırganların PowerShell komutlarını çağırmasına ve harici sunuculardan alınan web kabukları aracılığıyla kalıcı erişim elde etmesine olanak tanıyor. Yüklenen kötü amaçlı otomatik çalıştırma dosyası, dosyaları içeriyordu healthchecktemplate.txt Ve healthcheck.txt.
Siber güvenlik araştırmacısı Kevin Beaumont, Cleo güvenlik açığından yararlanan siber suçlu grupları arasında Termite fidye yazılımı operasyonunun da bulunduğunu bildirdi. Görünüşe göre Nisan ayından bu yana aktif olan Termite, sızdırılan Babuk cryptolocker kötü amaçlı yazılımının değiştirilmiş bir sürümünü kullanıyor. Starbucks ve büyük İngiliz süpermarket zincirlerindeki operasyonları kesintiye uğratan zincir yönetimi yazılımı sağlayıcısı Blue Yonder’a yönelik saldırının sorumluluğunu Kasım ayı sonlarında üstlenerek profilini güçlendirdi (bkz: Tedarik Zinciri Sağlayıcısına Yapılan Fidye Yazılımı Saldırısı Kesintiye Neden Oluyor).
Bilgi Güvenliği Medya Grubu’ndan Washington DC’deki David Perera’nın raporuyla