28 Mayıs
Progress, Anma Günü hafta sonu boyunca bir müşteriden şirketi MOVEit ortamındaki olağandışı etkinlik konusunda uyaran bir telefon aldı.
31 Mayıs
Progress, MOVEit’te yaygın olarak kullanılan dosya aktarım hizmetinin tüm şirket içi ve bulut tabanlı sürümlerini etkileyen sıfır günlük bir güvenlik açığını açıkladı.
Aktif olarak yararlanılan SQL enjeksiyon güvenlik açığı, tehdit aktörlerinin ayrıcalıkları artırmasına ve müşteri ortamlarına yetkisiz erişim elde etmesine olanak sağladı.
Satıcı, MOVEit’in şirket içi sürümleri ve yamalanmış bulut test sunucuları için bir yama yayınladığını söyledi.
1 Haziran
Çoklu tehdit istihbaratı firmaları, sıfırıncı gün güvenlik açığından aktif olarak yararlanıldığına dair kanıtları ve uzlaşma göstergelerini paylaştı.
Mandiant Consulting CTO’su Charles Carmakal yaptığı açıklamada, “Son birkaç gün içinde toplu istismar ve geniş kapsamlı veri hırsızlığı meydana geldi” dedi.
Progress, MOVEit ortamlarına giden tüm HTTP ve HTTP trafiğini devre dışı bırakmak da dahil olmak üzere, tüm MOVEit müşterilerinin hafifletme önlemlerini derhal uygulamasının “son derece önemli” olduğunu söyledi.
2 Haziran
Aktif olarak yararlanılan güvenlik açığı, 10 üzerinden 9,8 önem derecesi ile CVE-2023-34362 olarak atandı.
Censys’teki araştırmacılar, ilk güvenlik açığı ifşa edilmeden veya yamalanmadan önce 3.000’den fazla MOVEit ana bilgisayarının internete maruz kaldığını gözlemlediklerini söyledi.
CISA bir uyarıda, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleri oluşturuyor ve federal kuruluş için önemli riskler oluşturuyor” dedi.
4 Haziran
Microsoft saldırıları bağladı yeni tehdit aktörü adlandırma taksonomisi altında Lace Tempest olarak tanımladığı bir grup olan Clop’a.
5 haziran
British Airways, BBC ve Nova Scotia hükümeti dahil olmak üzere istismar edilen güvenlik açığıyla bağlantılı ihlalleri ifşa eden ilk kurban dalgası öne çıkmaya başladı.
Progress, sıfır gün güvenlik açığı ilk keşfedildiğinde kaç şirketin MOVEit kullandığını söylemeyi defalarca reddetti. Menkul Kıymetler ve Borsa Komisyonu’na sunulan bir 8-K’ya göre şirket, MOVEit Transfer ve MOVEit Cloud’un yıllık gelirinin %4’ünden azını oluşturduğunu tahmin ediyor.
Birleşik Krallık’ta yüzlerce şirkete hizmet veren MOVEit sıfır gün güvenlik açığı nedeniyle tehlikeye giren bir maaş bordrosu sağlayıcısı olan Zellis’in birden çok müşterisi etkilendi. Bir Zellis sözcüsü yaptığı açıklamada, “Az sayıda müşterimizin bu küresel sorundan etkilendiğini doğrulayabiliriz ve onları desteklemek için aktif olarak çalışıyoruz” dedi.
Güvenlik araştırmacıları, SQL enjeksiyon güvenlik açığıyla bağlantılı önceden bilinmeyen saldırıları ortaya çıkardığından ve ardından güvenlik açığını keşfettiğinden, keşiften önceki aktif istismar dönemi hareketli bir hedef olarak kaldı.
Trustwave operasyonlardan sorumlu Kıdemli Başkan Yardımcısı Spencer Ingram, e-posta yoluyla, “Trustwave, en azından Şubat ayından bu yana MOVEit uygulamasından yararlanan kaynak IP’lerin etkinliğini gördü,” dedi.
Huntress, MOVEit’teki güvenlik açığından yararlanarak saldırı zincirini yeniden oluşturdu ve daha önce Progress ve güvenlik araştırmacıları tarafından paylaşılan uzlaşmaya ilişkin web kabuğu göstergesinin yazılımı tehlikeye atmak için gerekli olmadığını ileri sürdü. Bu daha sonra sonradan keşfedilen bir dizi güvenlik açığı olarak tanımlanacaktır.
6 Haziran
TA505 olarak da bilinen Clop, karanlık web sitesinde yüzlerce kuruluştan veri sızdırmak için MOVEit güvenlik açığından yararlandığını iddia eden bir bildiri yayınladı.
Clop, kurbanların grupla iletişime geçip müzakerelere başlaması için 14 Haziran’a kadar süre verdi.
Mandiant ayrıca saldırıları FIN11 olarak tanımladığı bir grup olan Clop’a bağladı ve MOVEit müşterileri için 34 sayfalık bir koruma ve sağlamlaştırma kılavuzu yayınladı.
Progress’in ilk ifşasından sonraki bir hafta içinde, CISA, CrowdStrike, Mandiant, Microsoft, Huntress ve Rapid7, şirkete olaylara müdahale ve devam eden soruşturmalarda yardımcı oluyordu.
MOVEit’i kullanan ve birçok büyük kuruluşun veritabanlarında arama yapmasına yardımcı olan üçüncü taraf bir satıcı olan PBI Research Services, bazı müşterilerini MOVEit saldırılarıyla bağlantılı kapsamlı bir uzlaşma hakkında bilgilendirdi. PBI sistemlerinin ihlali, milyonlarca müşteri dosyasını hırsızlığa maruz bıraktı.
“PBI Araştırma Hizmetleri, bazı müşterilerimizle birlikte Progress Software’in MOVEit dosya aktarım uygulamasını kullanıyor. Bir PBI sözcüsü yaptığı açıklamada, Mayıs ayının sonunda Progress Software, MOVEit yönetim portalı yazılımını kullanan müşterilerimizin küçük bir yüzdesini etkileyen ve özel kayıtlara erişim sağlayan MOVEit yazılımlarında bir siber saldırı tespit etti.
7 Haziran
CISA ve FBI, taviz verme riski taşıyan kuruluşlar için tavsiyeleri paylaşmak üzere ortak bir danışma belgesi yayınladı.
Federal yetkililer, “TA505’in bu güvenlik açığından yararlanma hızı ve kolaylığı nedeniyle ve geçmiş kampanyalarına dayanarak, FBI ve CISA yamasız yazılım hizmetlerinin hem özel hem de kamu ağlarında yaygın olarak kullanıldığını görmeyi bekliyor” dedi.
8 Haziran
Risk analizi şirketi Kroll, Clop’un Temmuz 2021 gibi erken bir tarihte MOVEit’teki güvenlik açıklarından birini bildiğini ve bunlardan yararlanmanın yollarını denediğini iddia ederek, artık istismar edilen güvenlik açığı için zaman çizelgesini ileri sürdü.
9 Haziran
İlerleme, Huntress’in MOVEit’te yeni keşfedilen bir dizi SQL güvenlik açığı hakkındaki bulgularını doğruladı. Şirket, yeni güvenlik açıkları için bir yama yayınladı ve güvenlik açıklarından yararlanıldığına dair hiçbir kanıt olmadığını söyledi.
11 Haziran
MOVEit’teki yeni SQL enjeksiyon güvenlik açıklarına, 9,1 önem derecesi ile CVE-2023-35036 atandı.
14 Haziran
“Clop tarafından belirlenen ilk süre dolduğunda, siber güvenlik uzmanları ve potansiyel kurbanlar yüksek alarm durumundaydı.
Kendini “gerçeğin ardından sızma testi” sunan en iyi kuruluşlardan biri olarak ilan eden Clop, tehdidini yerine getirdi ve veri sızıntısı sitesinde bir düzine kurban kuruluş adını verdi.
15 Haziran
Progress, yeni bir MOVEit güvenlik açığı için bir yama açıkladı ve yayınladı, şirket bir danışma belgesinde, Progress’in iki hafta önce aktif olarak kullanılan bir sıfır gün güvenlik açığını ifşa etmesinden bu yana üçüncü oldu.
Satıcı, tüm MOVEit müşterilerini, MOVEit ortamlarına yönelik tüm HTTP ve HTTP trafiğini devre dışı bırakma önlemleri de dahil olmak üzere, yeni ayrıcalık yükseltme güvenlik açığı olan CVE-2023-35708’i derhal ele almaya teşvik etti.
Bir MOVEit sözcüsü Cybersecurity Dive’a e-postayla gönderilen bir açıklamada, “Şu anda, bu yeni güvenlik açığından yararlanıldığına dair göstergeler görmedik” dedi.
Tavsiye, CISA yetkililerinin “az sayıda” federal kurumun CISA’nın Clop fidye yazılımı çetesine atfettiği kampanyadan etkilendiğini açıklamasından hemen sonra geldi.
CISA Direktörü Jen Easterly bir basın toplantısında, “Bu kampanya hakkında çok endişeli olmamıza ve üzerinde acilen çalışmamıza rağmen, bu SolarWinds gibi ulusal güvenliğimiz için sistemik bir risk oluşturan bir kampanya değil” dedi.
Easterly, “Bildiğimiz kadarıyla, bu aktörler yalnızca dosya aktarım uygulamasında özel olarak izinsiz girişin meydana geldiği zamanda depolanan bilgileri çalıyorlar” dedi.
O sırada Emsisoft Tehdit Analisti Brett Callow, 63 bilinen ve onaylanmış kurbanartı belirtilmemiş sayıda ABD devlet kurumu.
16 Haziran
ABD Dışişleri Bakanlığı, bakanlığın en az iki kuruluşunun kayıtlarının ele geçirilmesinin ardından Clop fidye yazılımı grubuyla ilgili bilgilerle ilgili olarak 10 milyon dolarlık bir ödül teklif etti.
Reliaquest’teki araştırmacılar, “Clop sitesine göre, adı geçen bir örgütün müzakerelere katılmayı açıkça reddetmesinden sonra veri sızdırılmasının olası ilk örneğini” gözlemlediklerini söyledi.
19 Haziran
Reliaquest’e göre Clop, eşzamanlı olarak veri sızdırdı ve bir organizasyonun adını açıklayarak MOVEit istismarlarıyla ilgili ikinci bir veri sızıntısı örneği oldu.
22 Haziran
ABD’deki en büyük emeklilik sistemi olan Kaliforniya Kamu Çalışanları Emeklilik Sistemi, PBI ihlaliyle bağlantılı olarak yaklaşık 769.000 üyenin kişisel verilerinin açığa çıktığını ve indirildiğini doğruladı.
23 Haziran
Callow, Cybersecurity Dive’a e-posta yoluyla MOVEit saldırı kampanyası kurbanı sayısının 100’den fazla kuruluşa yükseldiğini söyledi.
26 Haziran
Reliaquest’e göre Clop, kurban olduğu iddia edilen 17 kişiden bugüne kadar çalınan verileri sızdırdığını iddia etti.
29 Haziran
Progress, 31 Mayıs’ta sona eren mali ikinci çeyreğinde siber olay ve güvenlik açığı müdahale harcamalarında yaklaşık 1,5 milyon dolar bildirdi ve gelecek çeyreklerde ek masraflara maruz kalmayı beklediğini söyledi.
Seeking Alpha transkriptine göre, Progress’in başkanı ve CEO’su Yogesh Gupta, şirketin kazanç çağrısı sırasında “Bu konuyu çok ciddiye alıyoruz” dedi.
Gupta, “Bu türden bir sorun üzerinde çalışırken, geniş kapsamlı veya erken spekülasyon yapmak yerine eldeki göreve odaklanmak ve müşterilerimizi süregelen siber suçlu tehdidine karşı korumak için elimizden geleni yapmak önemlidir” dedi.
5 Temmuz
Callow’a göre, MOVEit’teki yaygın olarak kullanılan güvenlik açığı bugüne kadar yaklaşık 200 kuruluşu etkiledi.
Progress, güvenlik düzeltmeleri de dahil olmak üzere başka bir güncelleme yayınladı ve bundan sonra her iki ayda bir MOVEit ürün güncellemelerini tutarlı bir şekilde yayınlayacağını söyledi.
6 Temmuz
Progress, bir gün önce hizmet paketinde yayımladığı güvenlik düzeltmelerini ayrıntılarıyla açıklayan bir danışma belgesinde üç yeni güvenlik açığını açıkladı.
Güvenlik açıklarından biri olan CVE-2023-36934’e 9,1 önem derecesi atanmıştır. CVE-2023-36932 ve CVE-2023-36933’e atanan bir dizi SQL enjeksiyon güvenlik açığı olan diğer iki güvenlik açığının analizi devam etmektedir.
Bu, ilk açıklamadan bu yana MOVEit’e atanan toplam CVE sayısını altıya çıkarır.
7 Temmuz
CISA, MOVEit müşterilerine ürün güncellemelerini uygulamalarını tavsiye eden bir uyarı yayınladı. Federal ajans, “Bir siber tehdit aktörü, hassas bilgileri elde etmek için bu güvenlik açıklarından bazılarını kullanabilir” dedi.
12 Temmuz
İlerleme, başlangıçta keşfedilen sıfır gün olan altı güvenlik açığından yalnızca birinin istismar edildiğini iddia ediyor.
Bir sözcü Cybersecurity Dive’a e-posta yoluyla “Şu anda bildiğimiz kadarıyla, 31 Mayıs güvenlik açıklarından sonra keşfedilen güvenlik açıklarının hiçbiri aktif olarak kullanılmadı” dedi.
Sözcü, “Yayınladığımız düzeltmeleri uygulamak da dahil olmak üzere, ortamlarını daha da sağlamlaştırmak için gereken adımları atmalarına yardımcı olarak müşterilerimizi desteklemeye odaklanmaya devam ediyoruz” dedi.
Kurumsal yazılım satıcısı, kuruluşların teknoloji yığınlarında karşılaştıkları riskleri ele aldı. Sözcü, “Bugün gerçek şu ki, sofistike siber suç grupları, artan bir oranda oldukça karmaşık kampanyalar yürütüyor” dedi.
Sözcü, “Kimse bağışık olmasa da,” dedi, “ilk güvenlik açığını öğrendiğimizden beri amacımız, yamaları zamanında yayınlamak, destek hizmetlerimizi müşterilere hitap edecek şekilde genişletmek dahil olmak üzere müşterilerimizin güvenliğini ve emniyetini ele almak için çalışmak oldu.” ürünlerimizin güvenliğini daha da artırmak ve müşterilerimize ve bir bütün olarak sektöre fayda sağlayabilecek bilgileri paylaşmak için güncelleme iletişimlerinde istikrarlı bir tempo oluşturmak ve üçüncü taraf güvenlik uzmanlarıyla birlikte çalışmak.”
14 Temmuz
Progress’in bir müşterinin MOVEit ortamındaki kötü amaçlı etkinlik konusunda ilk kez uyarılmasından bu yana 300’den fazla kurban kuruluş tespit edildi. Büyük kuruluşlar her gün uzun kurban listesine katılıyor.
KonBriefing Research’ün kurucusu ve genel müdürü Bert Kondrus, mağdurların bir listesini tutuyor ve bugüne kadar istismar edilen MOVEit güvenlik açığından etkilenen en az 317 kuruluş belirledi.
Callow, en az 314 mağdur kuruluş tespit ettiğini ve 18 milyondan fazla kişinin PII’ye maruz kaldığını belirtti.
Callow, “Kimlik dolandırıcılığı potansiyeli tek risk değil, hatta en ciddisi de değil,” dedi. “Kimlik avı ve iş e-postası uzlaşması daha da büyük tehditler olabilir.”
Uzmanlar, ihlalleri bildiren kurbanlar ve Clop’un sitesinde adı geçen diğer kişiler de dahil olmak üzere, etkilenen kuruluş ve bireylerin sayısının artmaya devam etmesini bekliyor.