ABD’deki en büyük hastane zincirlerinden birinin, bilgisayar korsanlarının 1 milyon hasta için korunan sağlık bilgilerini ele geçirdiğini açıklamasından günler sonra, araştırmacılar, bir kurumsal yazılım ürünü olan GoAnywhere’deki bir güvenlik açığının izini sürdüler.
Franklin, Tennessee Toplum Sağlığı Sistemleri, 13 Şubat’ta Menkul Kıymetler ve Borsa Komisyonu’na bir rapor sunarak erişimin GoAnywhere MFT aracılığıyla yapıldığını doğruladı.
Raporda, Fortra’nın GoAnywhere hizmetindeki veri ihlalinin hasta bakımında herhangi bir gecikmeye neden olmadığı belirtildi.
“Güvenlik ihlali bildirimini aldıktan sonra şirket, herhangi bir şirket bilgi sisteminin etkilenip etkilenmediğini, devam eden operasyonlara herhangi bir etkisinin olup olmadığını ve PHI veya PI’ye yasa dışı bir şekilde erişilip erişilmediğini ve ne ölçüde erişildiğini belirlemek de dahil olmak üzere derhal bir soruşturma başlattı. Saldırgan, ”dedi SEC açıklaması.
“Fortra ihlalinin tehlikeye attığı PHI ve PI ile ilgili olarak, şirket şu anda yaklaşık bir milyon kişinin bu saldırıdan etkilenmiş olabileceğini tahmin ediyor.”
Toplum Sağlığı, GoAnywhere ve veri ihlali
Fortra’nın GoAnywhere’i, şirketin 1 Şubat’ta uyardığı CVE-2023-0669 güvenlik açığı kullanılarak istismar edildi.
O zamanlar bilinen sıfır gün GoAnywhere güvenlik açığı, yönetilen dosya aktarımı (MFT) uygulamasını etkiledi. Uygulama, 7 Şubat’ta 7.1.2 sürümüyle bir yama aldı.
CVE-2023-0669, kötüye kullanılması için yönetim konsoluna erişim gerektiren bir uzaktan kod yürütme güvenlik açığıydı. Yönetim konsoluna erişim, özel bir şirket ağı, VPN, bulut ortamlarında izin verilenler listesine alınmış IP adresleri vb. aracılığıyla sağlanır.
Siber güvenlik şirketi Qualys’in bir blog gönderisine göre, halka açık internet üzerinden erişilen istemci arayüzü bu tehdide karşı savunmasız değildi.
GoAnywhere güvenlik açığından yararlanma
Araştırmacılar, Rundll32 kullanarak kodlanmış yürütme için programlanmış görevleri düzenleyen Truebot tarzı sebat kullanan CVE-2023-0669’un istismar örnekleriyle karşılaştı. Çeşitli tehdit istihbaratı kaynaklarından girdi alan Qualys, aşağıdaki ayrıntıları doğruladı;
- hash.sha256:[“0e3a14638456f4451fe8d76fdc04e591fba942c2f16da31857ca66293a58a4c3”, “c042ad2947caf4449295a51f9d640d722b5a6ec6957523ebf68cddb87ef3545c”, “c9b874d54c18e895face055eeb6faa2da7965a336d70303d0bd6047bec27a29d”]
- property.certificate.issuer:”Sectigo Genel Kod İmzalama CA R36″ ve file.properties.certificate.hash:”82d224323efa65060b641f51fadfef02″
Sömürü Sonrası Uzlaşma Göstergeleri (IoC):
- 0e3a14638456f4451fe8d76fdc04e591fba942c2f16da31857ca66293a58a4c3
- c042ad2947caf4449295a51f9d640d722b5a6ec6957523ebf68cddb87ef3545c
- C9b874d54c18e895face055eeb6faa2da7965a336d70303d0bd6047bec27a29d
GoAnywhere güvenlik açığı için hafifletme çabaları
BleepingComputer’ın bildirdiğine göre, bu GoAnywhere güvenlik açığı için bir geçici çözüm, yama yayınlanmadan önce 3 Şubat’ta not edildi.
Yazılımı en son sürümüne güncellemekte zorluk çeken kullanıcılar, sorun çözülene kadar Qualys tarafından belirtilen aşağıdaki adımları uygulayabilir:
- GoAnywhere MFT’nin kurulu olduğu dosya sistemini açarak LicenseResponseServlet’i devre dışı bırakın.
- Düzenle [install_dir]/adminroot/WEB-INF/web.xml- dosya
- Silin veya yorum yapın servlet ve servlet eşleme yapılandırma.
- GoAnywhere MFT uygulamasını yeniden başlatın
Sunucu uygulaması silindikten ve sunucu uygulaması eşlemesi yapıldıktan sonra (Fotoğraf: Qualys)
Siber güvenlik araştırmacısı Brian Krebbs tarafından hazırlanan bir raporda, birinin yönetimsel arabirimi herkese açık bir şekilde açığa çıkarsa ve bu kişiler arabirime gerekli erişim kontrollerini uygulayamıyorsa, yönetici kullanıcı hesaplarını şüpheli erişim ve tanınmayan kullanıcı adları açısından inceleyip değerlendirebileceklerini okudu.
Ardından, yanındaki çark simgesini tıklayıp ‘görüntüle’yi seçerek yeni kullanıcı adlarının ayrıntılarını kontrol edebilirler. Resmi şirket danışmanlığı ayrıca kullanıcıları, siber suçluların işi olabilecekleri için ‘sistem’ altında oluşturulmuş yeni yönetici hesapları bulup bulmadıklarını araştırmaya çağırdı.
Daha yeni hesaplar oluştururken şüpheli zamanlamalar (bazı sistemlerde güvenlik açığı hala yamalanmamış olsa da) tehdit aktörü hesaplarını ele verebilir. Cyber Express, yorum için Fortra’dan GoAnywhere’e ulaştı. Şimdiye kadar herhangi bir yanıt alınmadı.