Progress Software, yaygın olarak kullanılan kurumsal dosya aktarım çözümü MOVEit Transfer’i etkileyen yüksek önemdeki bir güvenlik açığını gideren kritik güvenlik yamalarını yayınladı.
CVE-2025-10932 olarak takip edilen güvenlik açığı, CVSS puanı 8,2’dir ve AS2 modülünü birden fazla ürün sürümünde etkilemektedir.
MOVEit Transfer’in AS2 modülündeki kontrolsüz kaynak tüketimi güvenlik açığı, saldırganların sistem kaynaklarını tüketerek hizmet kullanılabilirliğini kesintiye uğratmasına olanak tanıyabilir.
Kusur, 2025.0.0 ila 2025.0.2, 2024.1.0 ila 2024.1.6 ve 2023.1.0 ila 2023.1.15 sürümlerinde mevcuttur. Kimlik doğrulama veya kullanıcı etkileşimi gerektirmeyen, ağ üzerinden erişilebilen bir saldırı vektörü nedeniyle, etkilenen sürümleri kullanan kuruluşlar, potansiyel hizmet kesintilerine ve kötüye kullanıma önemli ölçüde maruz kalma riskiyle karşı karşıyadır.
MOVEit Aktarımı Güvenlik Açığı
Güvenlik açığı, CWE-400 kapsamında sınıflandırılan kaynak tüketimi üzerindeki yetersiz kontrollerden kaynaklanmaktadır. Bu kusur kategorisi, saldırganların aşırı kaynak tahsisini zorlayarak sistemleri aşırı yüklemesine olanak tanır ve bu da meşru iş operasyonlarını etkileyen hizmet reddi koşullarına yol açar.
Progress, AS2 modülü için IP adresinin beyaz listeye alınmasını zorunlu kılan düzeltmeler dağıtarak yetkisiz erişime karşı koruyucu bir bariyer oluşturdu. Kuruluşların kendi özel dağıtım modellerine göre derhal harekete geçmesi gerekir.
AS2 modülünü MOVEit ürünleriyle kullanmayan kuruluşlar için geçici bir çözüm, savunmasız uç noktaların kaldırılmasını içerir.
Yöneticiler AS2Rec2.ashx ve AS2Receiver.aspx dosyalarını C:\MOVEitTransfer\wwwroot dizininden silmelidir. Bu basit yaklaşım, sunucunun yeniden başlatılmasını gerektirmez ve kalıcı yamalar uygulanana kadar sürekliliği korur.
AS2 işlevini aktif olarak kullanan kuruluşlar için düzeltmenin uygulanması zorunlu hale gelir. MOVEit Transfer 2025.0.3, 2024.1.7 veya 2023.1.16 yamalı sürümlere güncelleme yaptıktan sonra yöneticilerin, yetkili ticari ortaklar için IP beyaz listesi kurallarını yapılandırması gerekir.
| Bağlanmak | Değer |
|---|---|
| CVE Kimliği | CVE-2025-10932 |
| Ürün | İlerleme MOVEit Transferi |
| Güvenlik Açığı Türü | Kontrolsüz Kaynak Tüketimi |
| Etkilenen Modül | AS2 Modülü |
| CVSS Puanı | 8.2 (YÜKSEK) |
Bu, MOVEit Transfer’de yönetici olarak oturum açmayı, Ayarlar’a gitmeyi, Güvenlik Politikalarına erişmeyi ve AS2 modülünün güvenilir ortak IP adreslerine erişimini kısıtlamak için Uzaktan Erişim Kurallarını yapılandırmayı içerir.
Progress, mevcut bakım anlaşmalarını sürdüren müşteriler için İndirme Merkezi aracılığıyla sabit sürümleri kullanıma sundu. Yamanın kullanılabilirliği üç ana sürüm grubunu kapsıyor ve kuruluşların desteklenen ürün dallarında güncelleme yapabilmelerini sağlıyor.
Aktif bakım anlaşmaları olmayan müşteriler, Progress yenileme hizmetleriyle veya atanmış iş ortağı hesap temsilcileriyle iletişime geçmelidir.
Özellikle, Progress MOVEit Cloud kullanıcılarının, bulut altyapısı halihazırda yamalı sürümlere yükseltildiği için acil bir işlem yapmasına gerek yoktur. Ancak şirket içi dağıtımlar, riski azaltmak için hızlı bir dikkat gerektirir.
Bu aktif şubelerin dışında MOVEit Transfer sürümlerini çalıştıran kuruluşlar, şu anda desteklenen sürümlere yükseltmeye veya geçici AS2 uç nokta kaldırma geçici çözümünü uygulamaya öncelik vermelidir.
Yüksek CVSS puanı, bu güvenlik açığının ciddiyetini ve hizmet kesintilerinin olası iş etkisini yansıtır. Yamaların hızlı dağıtımı, kurumsal ortamlarında dosya aktarım altyapısını yöneten güvenlik ekipleri için kritik bir önceliği temsil eder.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
