Cl0p çetesinin MOVEit saldırısının daha fazla kurban kuruluşu ortaya çıkmaya devam ettikçe, güvenlik araştırmacıları, Cl0p siber şantaj grubu tarafından gizli verileri yağmalamak için kullanılan RCE güvenlik açığı olan CVE-2023-34362 için bir PoC açığı yayınladı.
CVE-2023-34362 PoC istismarı yayınlandı
Horizon3 güvenlik araştırmacıları, CVE-2023-34362 için kavram kanıtı (PoC) istismar kodunun yanı sıra kusurun teknik temel neden analizini yayınladı.
Rapid7, güvenlik açığının bir analizini ve CVE-2023-34362 için tam bir yararlanma zinciri yayınladı.
Herkese açık bir PoC istismarı ile diğer saldırganlar, yama uygulanmamış internete bakan sistemleri ihlal etmek için bunu kullanmaya çalışabilir.
Daha önce bildirdiğimiz gibi, Progress Software ve Huntress araştırmacıları yakın zamanda MOVEit Transfer çözümünü etkileyen başka bir SQL enjeksiyon güvenlik açıkları (CVE-2023-35036) grubu keşfettiler.
CVE-2023-34362 ve CVE-2023-35036 için düzeltmeler mevcuttur ve kurumsal BT yöneticilerinin bunları hızlı bir şekilde uygulaması gerekir (henüz uygulamadılarsa). Şirket içi MOVEit Transfer veya bulut hizmeti (MOVEit Cloud) kullanan kuruluşlar, güvenlik ihlali ve veri hırsızlığı kanıtlarını kontrol etmelidir.
Yeni onaylanmış kurbanlar
Doğrulanmış mağdur örgütlerin listesi büyüyor ve şimdi şunları da içeriyor:
- Birleşik Krallık medya gözlemcisi Ofcom
- Muhasebe firması Ernst & Young (EY) ve Transport for London (Birleşik Krallık’ın başkentindeki ulaşım ağının çoğundan sorumlu yerel bir hükümet kuruluşu)
- Minnesota Eğitim Bakanlığı
- Illinois İnovasyon ve Teknoloji Departmanı
Ofcom, saldırı sırasında düzenledikleri bazı şirketler hakkında sınırlı miktarda (bazıları gizli) bilgilerin ve 412 Ofcom çalışanının kişisel verilerinin indirildiğini söylüyor. (Gözetmen, kendi MOVEit Transfer bulut sunucularının güvenliğinin ihlal edilip edilmediğini veya verilerin bordro ve İK hizmetleri sağlayıcısı Zellis’e ait örnekten indirilip indirilmediğini söylemedi.)
Transport for London BBC’ye yüklenicilerinden birinin bir veri ihlaline maruz kaldığını ve çalınan verilerin banka bilgilerini veya yolcu verilerini içermediğini söyledi.
Minnesota Eğitim Bakanlığı (MDE), ihlali Progress Software tarafından güvenlik açığı (CVE-2023-34362) hakkında bilgilendirildikten sonra 31 Mayıs’ta keşfettiklerini ve ilk soruşturmanın 24 MDE dosyasına erişildiğini bulduğunu söyledi.
“Bu dosyalar, eyalet genelinde koruyucu aileye yerleştirilen yaklaşık 95.000 öğrencinin adı, Perham Okul Bölgesinde Pandemik Elektronik Yardım Transferi (P-EBT) için hak kazanan 124 öğrenci, Hennepin Teknik Kolejinde PSEO dersleri alan 29 öğrenci hakkında bilgi içeriyordu. Minneapolis’te ve belirli bir Minneapolis Devlet Okulları otobüs güzergahını kullanan beş öğrenci” paylaştılar.
Dosyalar isimleri, doğum tarihlerini ve yerleştirildiği ilçeyi, ev adreslerini ve ebeveyn/veli ad(lar)ını içeriyordu. “Bu veri ihlalindeki dosyaların hiçbirinde mali bilgi yer almıyordu. Bugüne kadar herhangi bir fidye talebi olmamıştır ve MDE, verilerin çevrimiçi olarak paylaşıldığından veya yayınlandığından haberdar değildir.”
Illinois İnovasyon ve Teknoloji Departmanı (DoIT), ihlalden “çok sayıda kişinin etkilenebileceğine inanıyor”.
“DoIT şu anda etkilenen kurumlara tavsiyelerde bulunuyor ve DoIT etkilenen tüm kişilerin belirlenmesini tamamladıktan sonra mümkün olan en kısa sürede olayla ilgili kamuoyunu bilgilendirecek.”
Cl0P çetesi, hükümetten ve polis teşkilatlarından ve şehirlerden çaldıkları verileri zaten sildiğini ve bu varlıkların zorla alınmayacağını iddia ediyor, ancak siber dolandırıcılardan gelen bir söz pek bir şey ifade etmemeli.
Barrier Networks CTO’su Ryan McConechy, Help Net Security’ye, Ofcom’a ait gizli verilerin artık suçluların elinde olması nedeniyle, bu kişi ve kuruluşların kimlik avı dolandırıcılığı riskinin yüksek olacağını söyledi.
“Bu ihlalin arkasındaki saldırganlar, kuruluşlara müzakereleri ve fidye yazılımı ödemesini görüşmek üzere bu Çarşamba gününe kadar son tarih verdi, ancak ihlalin bu kadar geniş çapta duyurulması nedeniyle, birçok kuruluşun bu yemi yutması pek olası değil” diye ekledi.
“Birincisi, bu, Rus siber suçlularla ilişki içinde oldukları için daha geniş halk nezdindeki itibarlarına zarar verir, ikincisi ise gerçek şu ki, bu veriler artık suçluların elinde ve fidye ödense de ödenmese de hiçbir zaman bunun garantisi yok. silinecek. Bunun yerine, düzeltme eylemi öncelik olmalıdır ve bu, hesaplardaki şifrelerin değiştirilmesini, bankaların verilerin ele geçirildiğini bildirmesini ve dolandırıcılıklara karşı ekstra tetikte olmayı içerir.”