Finansal olarak motive olan bir fidye yazılımı grubu tarafından başlatılan bir çılgınlık aktif olarak sömürülen A sıfır gün güvenlik açığı Progress Software’in müşterilerin verilerini çalmak için MOVEit dosya aktarım hizmeti yolda.
Trustwave’e göre istismarlar en az dört aydır devam ediyor ve MOVEit veritabanlarının ele geçirilmesi, birden fazla aşağı akış kurbanı tuzağa düşüren en az bir takip saldırısıyla sonuçlandı.
Bazı büyük, iyi bilinen kuruluşlar, çalışanlarının kişisel olarak tanımlanabilir bilgilerinin ele geçirildiğini ifşa etmek için Pazartesi günü öne çıktı. Bu, MOVEit kullanan Birleşik Krallık merkezli bir bordro sağlayıcısı olan Zellis’in güvenlik açığı aracılığıyla saldırıya uğramasından sonra meydana geldi.
Devam eden soruşturmalarla, birçok firmadan tehdit avcıları ve güvenlik araştırmacıları tetikte ve daha fazla kurban bekliyor.
Yüksek profilli kurbanlar öne çıkıyor
Sonraki saldırı, British Airways ve BBC dahil olmak üzere şimdiye kadar sekiz Zellis müşterisini etkiledi.
Bir Zellis sözcüsü e-posta yoluyla, “Az sayıda müşterimizin bu küresel sorundan etkilendiğini doğrulayabiliriz ve onları desteklemek için aktif olarak çalışıyoruz” dedi.
Bir British Airways sözcüsü, havayolunun kişisel bilgileri açığa çıkan çalışanları bilgilendirdiğini söyledi ve BBC sözcüsü, medya şirketinin ihlalin boyutunu araştırdığını söyledi.
bu Nova Scotia hükümetiMOVEit dosya aktarım hizmetini kullanan Progress, Progress’in 1 Haziran’da güvenlik açığını Kanada eyaletine bildirmesinin ardından bölge sakinlerinin PII bilgilerinin ele geçirildiğini keşfettiğini söyledi.
Progress, şu anda kaç şirketin MOVEit kullandığını veya bugüne kadar kaç kurbanın farkında olduğunu söylemeyi reddetti.
Şirket, dahil olmak üzere yüzbinlerce müşterisi olduğunu söyledi. 1.700 yazılım şirketi ve 3,5 milyon geliştiricibir göre Menkul Kıymetler ve Borsa Komisyonu ile dosyalama 28 Şubat’ta sona eren mali ilk çeyrek için.
İlerleme, MOVEit Transfer ve MOVEit Cloud’un yıllık gelirinin %4’ünden azını oluşturduğunu tahmin ediyor. 8-K, SEC’e başvurdu 30 Mayıs’ta
Dosya aktarım hizmetinin, devlet, finans ve sağlık kuruluşları arasındaki potansiyel zararın bir örneği olarak, yüksek oranda düzenlenmiş sektörlerde müşterileri vardır.
Sıfır gün nasıl çözüldü?
Güvenlik açığı, ilk Progress tarafından açıklandı Çarşamba günü ve atanan CVE-2023-34362 Cuma günü, MOVEit’in şirket içi ve bulut tabanlı sürümlerini etkileyecek.
Satıcı, Perşembe günü MOVEit’in şirket içi sürümleri için bir yama yayınladı ve bulut test sunucularına yama uyguladı.
“Bir Progress sözcüsü, “Yamanın kötüye kullanımı düzelttiğinden emin olmak için bir dizi üçüncü taraf doğrulaması da uyguladık” dedi.
Şirket, geçen haftadan önce güvenlik açığının herhangi bir aktif istismarından haberdar olmadığını söyledi.
Bir Progress sözcüsü, “Form 8-K dosyalamamızda zaman çizelgesine ilişkin anlayışımızı kamuya açıkladık. Bu, devam eden bir soruşturmadır ve güvenlik topluluğu içindeki istihbarat paylaşımına ve şu anda bildiklerimize dayanmaktadır” dedi.
İlerleme, MOVEit’in şirket içi müşterilerini yamayı mümkün olan en kısa sürede uygulayın.
Pazartesi gününden itibaren, Censys’teki araştırmacılar 3.000’den fazla ana bilgisayar gözlemlendi şu anda hizmeti çalıştıran internete maruz kalıyor.
Herkes iş başına
Siber Güvenlik ve Altyapı Güvenliği Ajansı, kitle grevi, MandiantMicrosoft, Avcı ve hızlı7 Şirket, hepsinin olay müdahalesi ve devam eden soruşturmalarda Progress’e yardımcı olduğunu söyledi.
Güvenlik araştırmacıları, SQL enjeksiyon güvenlik açığıyla bağlantılı daha önce bilinmeyen saldırıları ortaya çıkarmaya devam ederken, keşiften önceki aktif istismar dönemi hareketli bir hedef olmaya devam ediyor.
“Trustwave, yakın zamanda en az Şubat ayından bu yana MOVEit uygulamasından yararlanan kaynak IP’lerin etkinliğini gördü.” Trustwave’in operasyonlardan sorumlu Kıdemli Başkan Yardımcısı Spencer Ingram e-posta yoluyla söyledi.
“Bunları spesifik olarak belirli tehdit aktörlerine atfedemesek de, devam eden çok sayıda soruşturmamız var. Durum geliştiği ve soruşturmalarımız devam ettiği için şu anda daha fazla yorum yapamıyoruz,” dedi Ingram.
Mandiant Danışmanlık CTO’su Charles Carmakal Olay müdahale firmasının şu anda kaç kurbandan haberdar olduğunu söylemeyi reddetti, ancak daha önce açıklanan toplu istismar ve geniş çaplı veri hırsızlığı kanıtları.
“Tehdit aktörü, güvenliği ihlal edilmiş MOVEit örneklerinden fırsatçı bir şekilde veri indirdi. Carmakal, e-posta yoluyla, öncelikle çalınan verileri, verileri çevrimiçi yayınlamama sözü karşılığında kurbanları bir haraç talebi ödemeye zorlamak için kullanacaklar.
Olay müdahale firması, “Mandiant bunu kademeli bir yazılım tedarik zinciri saldırısı olarak görmüyor” dedi. 3CX’e karşı tedarik zinciri saldırısı Mart ayında ve Trading Technologies’e yönelik sonuçta ortaya çıkan saldırı Nisan ayında, dedi Carmakal.
Carmakal, “Ancak, bu MOVEit güvenlik olayları kesinlikle diğer kuruluşlarda güvenlik olaylarına yol açabilir” dedi.
Araştırmacılar devam eden tehdit etkinliğini izliyor
Araştırmacılar, saldırılardan hangi tehdit aktörünün sorumlu olduğu konusunda ikiye bölünmüş durumda, ancak her atıf, Clop fidye yazılımına veya bir bağlı kuruluşa bağlantılar içeriyor.
Mandiant saldırıları tanımlar daha önce dosya aktarım sistemlerinde sıfır gün güvenlik açıklarından yararlanan ve veri hırsızlığı için özel web kabukları kullanan bir grup olan UNC4857 olarak tanımladığı yeni bir tehdit kümesine.
Microsoft saldırıları bağladı altında Lace Tempest olarak tanımladığı bir grup olan Clop’a yeni tehdit aktörü adlandırma taksonomisi.
yenileri de var Avcıdan kanıtMOVEit’teki güvenlik açığından yararlanarak saldırı zincirini yeniden oluşturan, daha önce Progress ve güvenlik araştırmacıları tarafından paylaşılan uzlaşmanın web kabuğu göstergesinin yazılımı tehlikeye atmak için gerekli olmadığını öne sürüyor.
Huntress’in kıdemli güvenlik araştırmacısı John Hammond, e-posta yoluyla, “Fidye yazılımı veya yanal hareket gibi başka bir sömürü sonrası henüz görmedik, ancak keyfi kod yürütme saldırı vektörünün ortaya çıkarılması, başka etkiler veya saldırılar için potansiyel olduğu anlamına gelir” dedi.
Hammond, “Bu, özellikle bir arka kapı oluşturmadan fidye yazılımlarına, kripto madenciliğine veya başka herhangi bir tehdide yol açabilir.” Dedi.
Sophos CTO’su John Shier’e göre MOVEit ve müşterilerine yönelik saldırılar, istismar edilen güvenlik açıklarının fidye yazılımı saldırılarının 1 numaralı temel nedeni olmaya devam ettiği gerçeğinin altını çiziyor.
“MOVEit Transfer yazılımını kullanan veya kullanan tedarik zinciri ortaklarına sahip olan herhangi bir kuruluşun, yazılımı derhal devre dışı bırakması, onu çalıştırıyor olabilecek tüm makineleri ağın geri kalanından ayırması, yamayı uygulaması ve olası tehlikeleri araştırması gerekir. dedi Şier.