Progress Software, bugün müşterilerini MOVEit Transfer yönetilen dosya aktarımı (MFT) çözümünde saldırganların müşterilerin veritabanlarından bilgi çalmasına izin verebilecek yeni bulunan kritik SQL enjeksiyon güvenlik açıkları konusunda uyardı.
Bu güvenlik açıkları, veri hırsızlığı saldırılarında Clop fidye yazılımı çetesi tarafından sıfır gün olarak istismar edilen bir kusuru ele alan Progress tarafından 31 Mayıs’ta başlatılan ayrıntılı kod incelemelerinin ardından siber güvenlik firması Huntress’in yardımıyla keşfedildi.
Tüm MOVEit Transfer sürümlerini etkilerler ve kimliği doğrulanmamış saldırganların müşteri bilgilerini değiştirmek veya çıkarmak için İnternet’e açık sunucuları tehlikeye atmasına olanak tanırlar.
Progress bugün yayınlanan bir danışma belgesinde “Bir saldırgan, MOVEit Transfer uygulaması uç noktasına hazırlanmış bir yük gönderebilir ve bu da MOVEit veritabanı içeriğinin değiştirilmesine ve ifşa edilmesine neden olabilir” diyor.
Şirket, “Tüm MOVEit Transfer müşterileri, 9 Haziran 2023’te yayınlanan yeni yamayı uygulamalıdır. Soruşturma devam etmektedir, ancak şu anda, yeni keşfedilen bu güvenlik açıklarının kötüye kullanıldığına dair göstergeler görmedik.”
Şirket, tüm MOVEit Cloud kümelerinin, potansiyel saldırı girişimlerine karşı onları korumak için bu yeni güvenlik açıklarına karşı zaten yama yapıldığını söylüyor.
Aşağıda, bu yeni güvenlik açıkları için bir düzeltme eki bulunan MOVEit Transfer sürümlerinin güncel listesini bulabilirsiniz:
MOVEit, 2021’den beri Clop’un elinde sıfır gün
Clop fidye yazılımı çetesi, hafta sonu Bleepingcomputer’a gönderilen ve “yüzlerce şirketi” etkilediği iddia edilen bir dizi veri hırsızlığı saldırısına yol açan CVE-2023-34362 MOVEit Transfer sıfır gününü hedefleme sorumluluğunu üstlendi.
Açıklamalarının güvenilirliği belirsiz olsa da, grubun kabulü, Microsoft’un bu kampanyayı TA505 ve FIN11 etkinliğiyle örtüşen Lace Tempest olarak izlediği bilgisayar korsanlığı grubuyla ilişkilendiren bulgularıyla örtüşüyor.
Kroll güvenlik uzmanları ayrıca, Clop’un 2021’den beri artık yamalı MOVEit zero-day’den yararlanmanın yollarını ve en az Nisan 2022’den beri güvenliği ihlal edilmiş MOVEit sunucularından veri ayıklamak için yöntemler aradığına dair kanıtlar buldu.
Clop siber suçlu grubu, veri hırsızlığı kampanyaları düzenleme ve çeşitli yönetilen dosya aktarım platformlarındaki güvenlik açıklarından yararlanma geçmişine sahiptir.
Bu açıklardan yararlanmalar, Aralık 2020’de Accellion FTA sunucularının sıfır gün ihlalini, 2021 SolarWinds Serv-U Yönetilen Dosya Aktarımı saldırılarını ve Ocak 2023’te sıfır gün GoAnywhere MFT’nin yaygın şekilde kullanılmasını kapsıyordu.
Clop’un MOVEit veri hırsızlığı saldırıları ifşa edildiğinden, etkilenen kuruluşlar yavaş yavaş veri ihlallerini ve güvenlik olaylarını kabul etmeye başladılar.
Örneğin, Birleşik Krallık merkezli maaş bordrosu ve İK çözümleri sağlayıcısı Zellis, BleepingComputer’a bu saldırılar nedeniyle bir veri ihlaline maruz kaldığını, bu olayın bazı müşterilerini etkileyebileceğini söyledi.
Etkilenen müşterilerinden bazıları arasında British Airways (İngiltere’nin bayrak taşıyıcısı), Aer Lingus (İrlanda bayrak taşıyıcısı) ve Minnesota Eğitim Bakanlığı yer alıyor.
Clop, durumu daha da tırmandırmak için son zamanlarda etkilenen kuruluşları tehdit etti ve verilerinin kamuya sızmasını önlemek için fidye müzakereleri başlatmaya çağırdı.