Yönetişim ve Risk Yönetimi , Olay ve İhlal Müdahalesi , Yama Yönetimi
Yeni Güvenlik Açığı, Tehdit Aktörlerinin MOVEit Veritabanı İçeriğini Değiştirmesine, İfşa etmesine İzin Veriyor
Micheal Novinson (Michael Novinson) •
16 Haziran 2023
MOVEit’in yönetilen dosya aktarım uygulamasındaki en son güvenlik açığı, artan ayrıcalıklara ve müşteri ortamlarına yetkisiz erişime yol açabilir.
Ayrıca bakınız: Yönetilen Algılama ve Yanıt Hizmetlerinin Gizemini Ortaya Çıkarma
Progress Software, Perşembe günü MOVEit Transfer web uygulamasında keşfedilen bir SQL enjeksiyon kusurunun, kimliği doğrulanmamış bir saldırganın MOVEit Transfer veritabanına yetkisiz erişim kazanmasına izin verebileceğini söyledi. Progress Software, bir saldırganın MOVEit Transfer uygulaması uç noktasına hazırlanmış bir yük göndererek MOVEit veritabanı içeriğini değiştirip ifşa edebileceğini söyledi.
Buna yanıt olarak Progress Software, Cuma günü yayınlanan bir güncellemeye göre MOVEit Cloud için HTTPS trafiğini kaldırdı ve müşterileri MOVEit Transfer ortamlarındaki tüm HTTP ve HTTPS trafiğini devre dışı bırakmaya yönlendirdi. Geçici bir çözüm olarak Progress Software, yöneticilerin Windows makinesine ve yerel ana bilgisayarlarına erişmek için uzak bir masaüstü kullanarak MOVEit Transfer’e erişebileceğini söyledi.
Bu, Progress Software’in 31 Mayıs’ta ilk sıfır gün açığını yamaladığından beri keşfettiği ikinci yeni MOVEit güvenlik açığıdır. Bir hafta önce şirket, saldırganlara MOVEit aktarım veritabanına erişim sağlayan ek SQL enjeksiyon güvenlik açıkları belirledi. Clop hizmet olarak fidye yazılımı grubu, ilk güvenlik açığına yönelik saldırılar düzenlediğini ve muhtemelen yüzlerce kuruluşun etkilendiğini söyledi (bkz: MOVEit Daha Fazla Güvenlik Açığı Açıklıyor, Yama Sorunları).
Progress Software Cuma günü, bir yamayı test edip dağıttıktan sonra MOVEit Cloud’u tüm bulut kümelerinde tam hizmete geri döndürdü. MOVEit Transfer istemcileri, MOVEit Transfer ortamlarına HTTP ve HTTPs trafiğini etkinleştirmeden önce Cuma günü yayınlanan yeni yamayı uygulamalıdır. Progress Software Cuma günü yaptığı açıklamada, tehdit aktörlerinin bu yeni keşfedilen güvenlik açığından yararlandığına dair henüz herhangi bir belirti görmediğini söyledi.
Clop’un Kurbanları Arasında Federal, Eyalet Ajansları
Orijinal güvenlik açığından kaynaklanan kurban sayısı artmaya devam ediyor. ABD Enerji Bakanlığı Perşembe günü geç saatlerde MOVEit Transfer siber saldırısında iki DOE kuruluşunun kayıtlarının ele geçirildiğini kabul etti. Bir sözcü, Information Security Media Group’a departmanın yetkilileri bilgilendirdiğini ve güvenlik açığının daha fazla açığa çıkmasını önlemek için acil adımlar attığını söyledi.
Bir Enerji Departmanı sözcüsü ISMG’ye “Bakanlık Kongre’yi bilgilendirdi ve olayı araştırmak ve ihlalin etkilerini azaltmak için kolluk kuvvetleri, CISA ve etkilenen kuruluşlarla birlikte çalışıyor” dedi.
Tarım Bakanlığı sözcüsü Cuma günü Recorded Future News’e MOVEit ile ilgili siber saldırılardan etkilenmiş olabileceğini söyledi. Sözcü, “USDA, bir satıcıyla çok az sayıda çalışanı etkileyebilecek olası bir veri ihlalinin farkındadır ve verileri etkilenmiş olabilecek tüm çalışanlarla iletişime geçilecek ve destek sağlanacaktır.” dedi.
Eyaletin Motorlu Taşıtlar Dairesi’ne göre, Louisiana’da devlet tarafından verilmiş bir ehliyet, kimlik veya araba ruhsatı olan tüm sakinlerin Sosyal Güvenlik numaraları, ehliyet numaraları, araç tescil bilgileri ve diğer kişisel bilgileri büyük olasılıkla tehdit aktörlerine açıktı. Bilgisayar korsanlarının elde edilen verileri sattığına, kullandığına, paylaştığına veya serbest bıraktığına dair hiçbir gösterge yok ve eyalet hükümetiyle iletişime geçmediler (bkz:: Geçen Hafta İhlal: ABD Hükümeti Dahil Daha Fazla MOVEit Kurbanı).
Oregon Ulaştırma Bakanlığı Perşembe günü yaptığı açıklamada, MOVEit bilgisayar korsanlarının sürücü belgesi veya eyalet kimliği olan 3,5 milyon Oregonlunun verilerine eriştiğini söyledi. Bakanlık, “Bu bilgilerin çoğu geniş çapta mevcut olsa da, bir kısmı hassas kişisel bilgilerdir” dedi.