Progress Software, yaygın olarak kullanılan yönetilen dosya aktarımı (MFT) yazılım ürünü MOVEit’te bir kritik (CVE-2024-5805) ve bir yüksek riskli (CVE-2024-5806) güvenlik açığını düzeltti.
WatchTowr Labs araştırmacılarına göre şirket, bilgileri kamuya açıklamadan önce kullanıcılara düzeltmeleri uygulamaları konusunda özel olarak talimat veriyor.
Güvenlik açıkları hakkında
CVE-2024-5805, MOVEit Gateway’de uygunsuz bir kimlik doğrulama güvenlik açığıdır ve bir proxy görevi görerek MOVEit Transfer’in (gerçek yönetilen dosya aktarım yazılımı) bir güvenlik duvarı arkasında konuşlandırıldığında gelen bağlantıları alabilmesini sağlar.
Güvenlik açığı, çözümün SFTP modülünü etkiliyor ve saldırganların kimlik doğrulamayı atlamasına olanak tanıyor. MOVEit Gateway v2024.0.0’ı etkiliyor ve bu ayın başlarında v2024.0.1’de düzeltildi.
“Tam yükleyiciyi kullanarak yamalı bir sürüme yükseltme yapmak bu sorunu çözmenin tek yoludur. Yükseltme çalışırken sistemde bir kesinti yaşanacak,” diye uyardı Progress Software.
Aynı uyarı, çözümün SFTP modülünü etkileyen daha az kritik (ama yine de ciddi) bir uygunsuz kimlik doğrulama kusuru olan CVE-2024-5806’yı düzeltmek için MOVEit Transfer kurulumlarını yükseltecek olanlara da verildi. Şirket, CVE-2024-5806’nın “sınırlı senaryolarda” kimlik doğrulamanın atlanmasına yol açabileceğini söyledi.
Bu güvenlik açığı MOVEit Transfer sürümlerini etkiliyor:
- v2023.0.0’dan v2023.0.11’e kadar
- v2023.1.0’dan v2023.1.6’ya kadar
- v2024.0.0’dan v2024.0.2’ye kadar.
Şirket içi kurulumu olan müşterilerin sabit sürümlerden birine yükseltmeleri önerilir.
Şirket, CVE-2024-5805’in MOVEit Cloud’u etkilememesine rağmen (MOVEit Gateway’i kullanmadığı için), CVE-2024-5806’nın MOVEit Cloud ortamını kullanan müşterileri etkilediğini ancak o zamandan beri yama uygulandığını belirtti.
CVE-2024-5805, Max Hase tarafından özel olarak ifşa edildi, ancak CVE-2024-5806’nın nasıl ve kim tarafından keşfedildiği hâlâ bilinmiyor. İlkinin açıklanması, şirketi MOVEit Transfer’in benzer bir tanesinin olup olmadığını kontrol etmeye teşvik etmiş olabilir ve onlar da ikincisini bulmuş olabilir. İlgili tavsiyelerin her ikisi de vahşi doğada istismardan bahsetmiyor.
CVE-2024-5806 için bir PoC
WatchTowr Labs araştırmacıları, Progress MOVEit Transfer’de kimlik doğrulamanın atlanmasına yol açabilecek bir kusurun varlığı ve ayrıca Progress’in müşterilere yama yapmalarını isteyen e-postalar gönderdiği ve varlığını şu tarihte açıklamasının beklendiği konusunda özel olarak uyarıldı: 25 Haziran 2024 Salı.
Progress, ilgili güvenlik önerilerini yayınladı ve WatchTowr araştırmacıları, kusura yönelik araştırmaları ve bundan nasıl yararlanmayı başardıkları hakkında son derece ayrıntılı bir açıklama ve CVE-2024-5806 için bir PoC istismarı yayınladı.
“Güvenlik açığı, MOVEit ile IPWorks SSH arasındaki etkileşimden ve bir hata durumunun ele alınamamasından kaynaklanıyor” dedi.
Ayrıca oldukça kötü bir saldırı olsa da saldırganların, savunmasız sistemdeki geçerli kullanıcılar hakkında bilgi sahibi olması gerektiğine dikkat çektiler.
“Bu, saldırganlar için aşılması gereken düşük bir çıta olsa da, otomatik saldırıların ilerleyişini sınırlamaya yardımcı olacaktır” diye açıkladılar ve IP tabanlı erişim kısıtlamalarının kötüye kullanım riskini azaltabileceğini belirttiler. Ayrıca, çözümün günlüklerinde, istismarın bir göstergesi olarak sunucu olabilecek belirli girişleri de paylaştılar.
“Progress, bu sorunu düzeltmek için haftalarca/aylardır müşterilerle iletişime geçiyor ve bunun yapıldığından emin olmak için iyi niyetli çabalar gösteriyor. Ambargo ve Progress’in müşterilerin yamaları dağıtmasını sağlamak için proaktif olarak gösterdiği çabalar nedeniyle kimsenin hâlâ savunmasız kalmasını beklemiyoruz.”
MOVEit kurulumları geçen yıl Cl0p fidye yazılımı çetesi tarafından sıfır gün güvenlik açığı aracılığıyla büyük ölçüde istismar edildi.