Saldırganlar, kuruluşları ihlal etmek için IBM Aspera Faspex merkezi dosya aktarımı çözümündeki kritik bir güvenlik açığından (CVE-2022-47986) yararlanıyor.
CVE-2022-47986 hakkında
IBM Aspera Faspex, kuruluşlar tarafından çalışanların birbirleriyle hızlı ve güvenli bir şekilde dosya alışverişi yapmasına olanak sağlamak için kullanılır. (Dosyalar, merkezi bir Aspera aktarım sunucusuna yüklenir ve buradan indirilir.)
CVE-2022-47986, özel hazırlanmış eski bir API çağrısı gönderen uzak saldırganlar tarafından tetiklenebilen bir YAML serisini kaldırma hatasıdır. IBM Aspera Faspex 4.4.2 Patch Level 1 ve önceki sürümlerini etkiler ve rastgele kod yürütülmesine izin verir.
Rapid7’nin güvenlik araştırmacısı Caitlin Condon’a göre sorun, Aspera Faspex’in tipik olarak ağ çevresine kurulu olması ve – açıkçası – bazı kuruluşların IBM yamaları ilk kez kullanıma sunduğunda bu özel güvenlik açığını kapatmamış olmasıdır.
Şimdi, ilk CVSS puanının (8.1) ve o sırada yamalanan en yüksek puanlı güvenlik açığı olduğu gerçeğinin, hızlı bir şekilde yama yapmama kararlarında bir ilgisi olabilir.
Ne yazık ki onlar için puan, gerçek ciddiyetini yansıtmak için daha sonra 9.8’e (10 üzerinden) yükseltildi. Ancak daha da önemlisi, onu ortaya çıkaran araştırmacı Max Garrett, teknik ayrıntıları ve PoC istismar kodunu yayınladı.
CVE-2022-47986’dan Yararlanma
Saldırganlar onu kullanmaya başladı neredeyse hemenve o zamandan beri durmadılar.
Mart ayı başlarında SentinelOne araştırmacıları, Türkiye, İran, Pakistan ve Birleşik Arap Emirlikleri’ndeki kuruluşların Linux kutularını vuran IceFire fidye yazılımını kullanan saldırganları tespit etti. Greynoise geçen ay birkaç istismar girişimi kaydetti.
Rapid7’den Condon ayrıca yakın zamanda CVE-2022-47986 aracılığıyla bir müşterinin güvenliğinin ihlal edildiği en az bir olaydan haberdar olduklarını söylüyor.
Şirket, güvenliği ihlal edilmiş ancak henüz sistemlerinde fidye yazılımları serbest bırakmamış olanlar için kullanışlı olabilecek uzlaşma göstergelerini paylaştı (eğer plan veri sızdırma ve gasp değil de fidye yazılımı dağıtmaksa).
Kuruluş yöneticilerine, IBM Aspera Faspex sunucularını hemen yükseltmeleri ve uzlaşma kanıtı aramaları – ve buna göre hareket etmeleri – önerilir.