3. Taraf Risk Yönetimi , İhlal Bildirimi , Siber Suçlar
Saldırganlar, Fortra’nın Yönetilen Dosya Aktarım Yazılımındaki Zero-Day Güvenlik Açığı’ndan Yararlanıyor
Prajeet Nair (@prajeetspeaks) •
18 Mart 2023
Hitachi Energy, Fortra’nın yaygın olarak kullanılan yönetilen dosya aktarım yazılımı GoAnywhere MFT’deki sıfır gün güvenlik açığından yararlanan Clop fidye yazılımı grubunun hedef aldığı kurbanlar arasına katıldı. Clop, 130 farklı kuruluş tarafından kullanılan ağları tehlikeye atan saldırının sorumluluğunu üstlendi.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Bugünün Tehditlerine Karşı Savunma
Japon teknoloji devinin yan kuruluşu olan Hitachi Energy, Cuma günü Clop fidye yazılımı grubunun Fortra’nın GoAnywhere dosya aktarım yazılımındaki bazı ülkelerde çalışan verilerine yetkisiz erişimle sonuçlanabilecek bir kusurdan yararlandığını doğruladı.
Şirket, bir veri ihlali bildirim mektubunda, “Bu olayı öğrendikten sonra hemen harekete geçtik ve kendi soruşturmamızı başlattık, üçüncü taraf sistemin bağlantısını kestik ve saldırının doğasını ve kapsamını analiz etmemize yardımcı olması için adli BT uzmanlarını görevlendirdik.” .
Şirket, etkilenen çalışanları bilgilendirdiğini ve ilgili veri gizliliği, güvenlik ve yasa uygulayıcı makamları bilgilendirdiğini söylüyor.
Açıklamada, “En son bilgilerimize göre, ağ operasyonlarımız veya müşteri verilerinin güvenliği tehlikeye girmedi. Soruşturma ilerledikçe ilgili tarafları bilgilendirmeye devam edeceğiz.”
Önce siber güvenlik analisti ve güvenlik araştırmacısı Dominic Alvieri bildirildi şirketteki ihlal hakkında. Hitachi Energy, diğer konumların yanı sıra İtalya ve Finlandiya’da elektrik şebekelerine ve rüzgar santrallerine sahiptir ve çözümlerini 140’tan fazla ülkede sunmaktadır.
Hitachi Energy sözcüsü, ek ayrıntılar sağlamak için hemen müsait değildi.
Olay, aynı güvenlik açığından yararlanan saldırganların kurbanı olan siber güvenlik yazılımı devi Rubrik’teki bir ihlalin hemen ardından geldi. Kaliforniya, Palo Alto’da bulunan Rubrik, endüstrinin en büyük veri esnekliği platformlarından biridir. Şirket, sistemler çöktükten veya saldırganlar tarafından silindikten sonra müşterilerin verileri geri yüklemesine yardımcı olur (bkz: GoAnywhere’den Yararlanan Zero-Day Saldırısı Yoluyla Rubrik İhlal Edildi).
Şirket Salı günü yaptığı bir veri ihlali bildiriminde, bilgisayar korsanlarının Rubrik’teki üretim dışı bir BT test ortamına erişmek için GoAnywhere dosya aktarım yazılımındaki bir kusuru kullandığını söyledi.
Saldırganların yararlandığı güvenlik açığı CVE-2023-0669 olarak belirlenmiştir ve yönetilen dosya aktarım yazılımının 7.1.2’den önceki Windows ve Linux sürümlerinde bulunmaktadır.
Eskiden HelpSystems olarak bilinen Fortra, müşteri olarak 3.000’den fazla kuruluşa sahiptir.
GoAnywhere MFT’deki güvenlik açığı, saldırganların açıktan yararlanabileceği ve önce GoAnywhere MFT yönetim konsolunda kimlik doğrulaması yapmak zorunda kalmadan seçtikleri kodu uzaktan çalıştırabileceği bir kimlik doğrulama öncesi uzaktan kod yürütme hatasıdır.
Saldırının başarılı olması için yönetim konsolunun internete açık olması gerekir. Açıktan yararlanmaya yönelik bilinen ilk saldırılar 25 Ocak’ta başladı. 1 Şubat’ta Fortra bir güvenlik uyarısı ve hafifletme talimatları yayınladı. 7 Şubat’ta, kusuru gideren GoAnywhere MFT’nin 7.1.2 sürümünü yayınladı.
ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi ve diğer federal kurumlar, tüm GoAnywhere MFT kullanıcılarını güvenlik açığını azaltmak için yazılımlarını hemen yükseltmeye veya geçici çözümler kullanmaya teşvik etti (bkz:: Yetkililer Devam Eden Clop Tehditlerine Karşı Sağlık Sektörünü Uyardı ).