Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Kritik Sıfır Gün Güvenlik Açığı Arttırılmış Ayrıcalıklara, Yetkisiz Erişime İzin Veriyor
Micheal Novinson (Michael Novinson) •
1 Haziran 2023
Güvenlik araştırmacılarına göre tehdit aktörleri, Progress Software’in çeşitli müşteri ortamlarında yönetilen dosya aktarımı teklifindeki kritik bir sıfır gün güvenlik açığından yararlanıyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Boston bölgesi uygulama geliştirme ve altyapı yazılımı sağlayıcısı, Çarşamba günü MOVEit Transfer’de hedef sistemlerde “yükseltilmiş ayrıcalıklara ve potansiyel yetkisiz erişime” izin veren kritik bir SQL enjeksiyon güvenlik açığı konusunda uyarıda bulundu. Bir gün sonra, Mandiant, Rapid7 ve başka yerlerdeki araştırmacılar, güvenlik açığıyla ilişkili olarak kitlesel istismar ve kapsamlı veri hırsızlığı gördüklerini bildirdiler.
Olay Müdahale Uygulama Lideri Tyler Hudak, TrustedSec’in arka kapı analizine dayanarak, başarılı bir saldırının MOVEit sistemindeki herhangi bir klasöre veya dosyaya kimliği doğrulanmamış uzaktan erişime izin verebileceğini söyledi. Progress Software, Information Security Media Group’un yorum talebine hemen yanıt vermedi.
Mandiant Consulting Baş Teknoloji Sorumlusu Charles Carmakal, e-postayla gönderilen bir açıklamada, “MOVEit kullanan herhangi bir kuruluş, sistemin zaten tehlikeye atılıp atılmadığını ve verilerin çalınıp çalınmadığını belirlemek için sistemi adli olarak incelemelidir.” Dedi. “Mandiant, tehdit aktörünün motivasyonunu henüz bilmese de, kuruluşlar çalınan verilerin olası gasp ve yayımına karşı hazırlıklı olmalıdır.”
Sömürü Başladığında
Rapid7 Güvenlik Araştırması Kıdemli Müdürü Caitlin Condon, kabaca 2.500 MOVEit Transfer örneğinin Çarşamba günü halka açık internete maruz kaldığını ve bunların çoğunun Amerika Birleşik Devletleri’nde göründüğünü söyledi. Benzer şekilde, güvenlik araştırmacısı Kevin Beaumont, Mastodon’da MoveIT Transfer’in ABD’de İç Güvenlik Bakanlığı ve bazı büyük bankalar da dahil olmak üzere çok büyük bir ayak izine sahip olduğunu yazdı.
Progress Software, MOVEit Transfer müşterilerini yetkisiz erişim göstergelerini “en az son 30 gün içinde” kontrol etmeye yönlendirdi, Condon bunun saldırgan etkinliğinin güvenlik açığı ifşa edilmeden önce tespit edildiğini gösterdiğini söyledi. Beaumont, birkaç hafta önce faaliyet tespit eden firmalara web kabuklarının yerleştirilmeye başladığını ve bu süre zarfında birden fazla kuruluşta birden fazla olayın devam ettiğini söyledi.
TrustedSec, arka kapıların Pazar gününden beri halka açık sitelere yüklendiğini tespit etti, bu da saldırganların sistemlere erişim elde etmek için Anma Günü tatil hafta sonundan yararlandığı anlamına geliyor. Hudak, etkilenen kurbanlardan veri sızdırıldığına dair raporların da olduğunu söyledi. Saldırı sırasındaki arka kapı yüklemesi, bilgisayar korsanlarının MOVEit içindeki herhangi bir dosyayı indirmesine ve kimlik bilgilerinin atlanmasına izin vermek için aktif bir oturum almasına olanak tanır.
Beaumont ayrıca, güvenlik olayının Progress Software’in aynı ürüne yönelik SaaS bulut teklifini etkilediğini bildirdi. Rapid7’nin yönetilen hizmetler ekipleri şimdiye kadar birden çok müşteri ortamında aynı web kabuğu adını gözlemledi ve Condon bunun otomatik istismara işaret edebileceğini söyledi. SQL-to-RCE kusurları, tehdit aktörlerine kurumsal ağlara ilk erişim sağlayabilir.
İstismar Nasıl Çalışır?
Condon’a göre, web kabuğu kodu önce gelen isteğin belirli bir başlık içerip içermediğini belirleyecek ve başlıkta belirli bir parola benzeri değer yoksa geri dönecek ve 404 “Bulunamadı” hatası döndürecektir. Bugün itibariyle Condon, Rapid7 tarafından gözlemlenen MOVEit istismarının tüm örneklerinin, MOVEit kurulum dizininin belirli bir klasöründe human2.aspx dosyasının varlığını içerdiğini söyledi.
Progress Software, MOVEit Transfer’in desteklenen tüm sürümleri için yamalar hazırlamıştır. TrustedSec, Progress tarafından sunulan azaltmaların MOVEit ortamına giden tüm HTTP ve HTTPS trafiğini reddettiğini söyledi. Bu, sisteme tüm erişimi engellese de Hudak, SFTP ve FTP protokollerinin çalışmaya devam edeceğini söyledi. Bu protokollerin güvenliğinin ihlal edildiğine veya dosya aktarımından yararlanmak için kullanılabileceğine dair herhangi bir işaret yok.
Beaumont, sistemlerine yama uygulamanın yanı sıra, MoveIT Transfer’i çalıştıran işletmelerin ağ bağlantısını kaldırmaları, yeni oluşturulan veya değiştirilmiş .asp* dosyalarını kontrol etmeleri ve tüm IIS günlükleri ile ağ veri hacmi günlüklerinin bir kopyasını tutmaları gerektiğini söyledi. Şu anda bu güvenlik açığıyla ilişkilendirilmiş bir CVE veya CVS puanı yok.
MOVEit Transfer’in istismarı, bilgisayar korsanlarının Fortra’nın GoAnywhere dosya aktarım yazılımındaki sıfır günü Rusça konuşan şantaj grubu Clop için fidye yazılımı saldırılarına dönüştürmesinden aylar sonra geldi. Fortra ve Palo Alto Networks Birimi 42’nin bulduğuna göre, Clop 50’den fazla artık yamalanmış GoAnywhere sıfır gün saldırısının sorumluluğunu üstlendi ve Nisan ayı itibarıyla 100’den fazla kuruluş hatanın etkilerini hissetti (bkz:: Kurban Makinelerine Fortra Hacker Yüklü Araçlar).
Carmakal, “Sıfır gün güvenlik açıklarının diğer yönetilen dosya aktarımı çözümleriyle toplu olarak kullanılması, veri hırsızlığı, gasp, çalınan verilerin yayınlanması ve kurban paylaşımıyla sonuçlandı” dedi.