3. Taraf Risk Yönetimi , Yönetişim ve Risk Yönetimi , Yama Yönetimi
Şirket, Veri İhlalinin Fortra Yazılım İstismarı ile Bağlantılı Olduğunu Söyledi; Hassas Hiçbir Şey Çalınmadı
Mathew J. Schwartz (euroinfosec) •
15 Mart 2023
Siber güvenlik yazılımı devi Rubrik, Fortra’nın yaygın olarak kullanılan yönetilen dosya aktarım yazılımı GoAnywhere MFT’deki sıfır gün güvenlik açığından yararlanan saldırganların kurbanı olan kuruluşlar arasına katıldı.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Bugünün Tehditlerine Karşı Savunma
Kaliforniya, Palo Alto’da bulunan Rubrik, endüstrinin en büyük veri esnekliği platformlarından biridir. Şirket, müşterilerin sistemler çöktükten veya saldırganlar tarafından silindikten sonra verileri geri yüklemelerine yardımcı oluyor.
Şirket Salı günü yaptığı veri ihlali bildiriminde, bilgisayar korsanlarının Rubrik’teki üretim dışı bir BT test ortamına erişmek için GoAnywhere dosya aktarım yazılımındaki bir kusuru kullandığını söyledi.
Şirket, Sosyal Güvenlik numaralarının, banka hesap bilgilerinin veya ödeme kartı bilgilerinin açığa çıkmadığını söylüyor. Çalınan, bazı müşterilerin ve iş ortaklarının adları ve iletişim bilgilerinin yanı sıra Rubrik’in distribütörleri tarafından kaydedilen bazı satın alma siparişleri dahil olmak üzere satış departmanı tarafından saklanan bilgilerdi.
Rubrik, ihlalin test ortamıyla sınırlı göründüğünü söylüyor.
Daha önce CIA’nın CISO’su olarak görev yapan Rubrik’in CISO’su Michael Mestrovich, “Mevcut soruşturma, diğer ortamlara herhangi bir yanal hareket olmadığını belirledi” dedi. “Rubrik, söz konusu üretim dışı ortamı çevrimdışı hale getirdi ve tehdidi hızla kontrol altına almak ve test ortamımızı geri yüklemeye yardımcı olmak için kendi güvenlik sistemlerimizi ve çözümlerimizi kullandı.”
Şirket ihlal için özür diledi. Ne zaman başladığını veya tespit edildiğini söylemedi.
Fidye Yazılımı Grubu Bazı Saldırılar İçin Kredi Talep Etti
Clop fidye yazılımı grubu, 10 Şubat’ta Bleeping Computer’a, önceki 10 günlük süre içinde 130 kurban topladığını söyleyerek sıfır gün saldırılarının arkasında olduğunu iddia etti.
Community Health Systems ve Hatch Bank, halihazırda mağdur olduğunu bildiren kuruluşlar arasında yer alıyor. Bleeping Computer’ın bildirdiğine göre, Cuma günü Clop, Hatch Bank da dahil olmak üzere (CHS değil) veri sızıntısı sitesine kurbanları eklemeye ve kurbanlara doğrudan gasp taleplerini e-postayla göndermeye başladı.
Hatch Bank geçen hafta 30 Ocak veya 31 Ocak’ta saldırıya uğradığını ve ihlali 7 Şubat’ta tespit ettiğini bildirdi. İhlalin yaklaşık 140.000 müşterinin kişisel bilgilerinin çalınmasıyla sonuçlandığını söyledi.
Yine geçen hafta, Tennessee merkezli çok eyaletli hastane zinciri CHS, 1 milyona kadar kişiye ihlalinin kurbanı olduklarını bildireceğini bildirdi. CHS, ifşa olan hasta bilgilerinin, kişilerin tam adlarını, adreslerini, tıbbi fatura ve sigorta bilgilerini, teşhisler ve ilaçlar gibi belirli tıbbi bilgileri ve doğum tarihleri ve Sosyal Güvenlik numaraları gibi demografik bilgileri içerdiğini söylüyor.
Ön Kimlik Doğrulama Uzaktan Kod Yürütme Hatası
Saldırganlar tarafından istismar edilen ve CVE-2023-0669 olarak tanımlanan güvenlik açığı, GoAnywhere MFT’nin – diğer adıyla yönetilen dosya aktarımı – 7.1.2’den önceki Windows ve Linux sürümlerinde bulunmaktadır. Yazılım, daha önce HelpSystems olarak bilinen Fortra tarafından satılmaktadır.
Şirketin müşterisi olarak 3.000’den fazla kuruluş bulunmaktadır.
GoAnywhere MFT’deki güvenlik açığı, bir kimlik doğrulama öncesi uzaktan kod yürütme hatasıdır. Bu, saldırganların önce GoAnywhere MFT yönetim konsolunda kimlik doğrulaması yapmak zorunda kalmadan seçtikleri kodu uzaktan yürütmek için kusurdan yararlanabileceği anlamına gelir.
Saldırının başarılı olması için güvenlik uzmanları, yönetim konsolunun internete açık olması gerektiğini söylüyor.
Açıktan yararlanmaya yönelik bilinen ilk saldırılar 25 Ocak’ta başladı. 1 Şubat’ta Fortra bir güvenlik uyarısı ve hafifletme talimatları yayınladı. 7 Şubat’ta, kusuru gideren GoAnywhere MFT’nin 7.1.2 sürümünü yayınladı.
Araştırmacılar, yama ayrıntılarına dayanarak, kusur için hızlı ve kolay bir şekilde çalışan bir istismar oluşturabilecekleri konusunda uyardılar. Bu nedenle, Clop fidye yazılımı grubu ilk saldırı dalgasının arkasında olabilirken, o zamandan beri diğer suç grupları ve devlete bağlı bilgisayar korsanlığı ekipleri muhtemelen onu kullanmaya başladı.
ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi ve diğer federal kurumlar, tüm GoAnywhere MFT kullanıcılarını güvenlik açığını azaltmak için yazılımlarını hemen yükseltmeye veya geçici çözümler kullanmaya teşvik etti (bkz:: Yetkililer Devam Eden Clop Tehditlerine Karşı Sağlık Sektörünü Uyardı).
22 Şubat itibariyle, 999’dan fazla yönetim konsolunun internete açık olduğu ve güvenliğinin ihlal edilme riskiyle karşı karşıya olduğu görüldü.