MOVEit Transfer yönetilen dosya aktarım çözümünü kullanan Progress Software müşterileri bunu duymak istemeyebilir, ancak şirket içi kurulumlarına hızla yeniden yama uygulamalıdır: Huntress araştırmacılarının yardımıyla şirket, potansiyel olarak oluşabilecek ek SQL enjeksiyon güvenlik açıklarını ortaya çıkardı. kimliği doğrulanmamış saldırganlar tarafından web uygulamasının veritabanından veri almak için kullanılabilir.
Güvenlik açıkları henüz bir CVE numarası almadı, ancak yamalar/düzeltilmiş sürümler sağlandı.
Şirket, “Soruşturma devam ediyor, ancak şu anda bu yeni keşfedilen güvenlik açıklarından yararlanıldığına dair göstergeler görmedik” dedi ve “yeni güvenlik açıklarını gidermek için tüm MOVEit Cloud kümelerine yeni bir yama uyguladıklarını doğruladı. ”
çeşitli hedefler
31 Mayıs’ta Progress, Anma Günü hafta sonu boyunca çeşitli kuruluşları vurmak için istismar edilen (o sırada) bir sıfır gün güvenlik açığı olan CVE-2023-34362’nin aktif olarak kullanılması konusunda uyarıda bulundu.
Progress hızlı bir şekilde yamalar yayınladı ve müşterileri bunları uygulamaya ve saldırganlar – Cl0p siber şantaj çetesi – tarafından ilk genel uyarıdan önceki günler ve haftalar içinde bırakılan web kabuklarını aramaya çağırdı.
Hedeflenen kuruluşlar, çeşitli sektörlerde (teknoloji, üretim, sağlık, finansal hizmetler vb.) ve dünya genelinde küçük işletmelerden büyük işletmelere kadar uzanıyordu.
Cuma günü Netcraft, düzeltme talimatlarının yayınlanmasından bu yana bir haftadan uzun bir süre önce, enerji, sağlık ve finans şirketleriyle ilişkili sunucularda (çoğunlukla ABD merkezli, ancak aynı zamanda Kanada, Umman ve ABD’de) hala mevcut olan web kabuklarını keşfettiklerini açıkladı. Filipinler.
Cl0p açıktan yararlandı ve iki yıl önce test etmeye mi başladı?
Progress’in ayrıntılı bir kod incelemesi yapmak için üçüncü taraf siber güvenlik uzmanlarıyla ortaklık kurmuş olması sevindirici bir haberdir, ancak bir veya iki yıl önceki benzer bir çaba, bu saldırıları daha başlangıçta durdurmuş olabilir.
Kroll siber güvenlik araştırmacıları tarafından yapılan bir analize göre, Cl0p tehdit aktörleri muhtemelen 2021 yılına kadar bu güvenlik açığı için bu açıktan yararlanmayı deniyorlardı.
“Kroll’un MOVEit Transfer güvenlik açığından etkilenen istemcilere ilişkin ilk analizi, Progress Software’in 31 Mayıs 2023’te güvenlik açığını kamuoyuna duyurmasından sadece birkaç gün önce, 27 ve 28 Mayıs 2023 tarihlerinde veya bu tarihlerde güvenlik açığıyla ilişkili geniş bir etkinlik alanı gösterdi.” şirket söyledi.
“27-28 Mayıs dönemindeki etkinlik, nihayetinde human2.aspx web kabuğunun konuşlandırılmasıyla sonuçlanan otomatik bir istismar saldırısı zinciri gibi görünüyordu.”
Ancak etkilenen müşterilerin Microsoft Internet Information Services (IIS) günlüklerini inceledikten sonra, Nisan 2022 ve Temmuz 2021’de gerçekleşen benzer etkinliklere dair kanıtlar buldular. Bunun, saldırganların kuruluşlara erişimi test ettiğini ve MOVEit Transfer sunucularından bilgi çaldığını gösterdiğine inanıyorlar. hangi kuruluşa eriştiklerini belirlemek için.
Esasen, son veri sızdırma saldırılarını gerçekleştirmeden önce keşif yapıyorlardı.
Şirket, “Kroll, bugün var olan MOVEit Transfer istismarının Nisan 2022’de mevcut olduğunu ve kullanıldığını/test edildiğini ve Temmuz 2021’de mevcut olduğunu ve kullanıldığını/test edildiğini büyük bir güvenle değerlendiriyor” dedi.
“Bu bulgu, MOVEit Transfer siber saldırısı gibi toplu istismar olaylarına giren karmaşık bilgi ve planlamayı gösteriyor. Bu gözlemlere göre Clop tehdit aktörleri, Şubat 2023’te GoAnywhere MFT güvenli dosya aktarım aracından yararlanmadan önce MOVEit Transfer güvenlik açığından yararlanma potansiyeline sahipti, ancak saldırıları paralel yerine sıralı olarak gerçekleştirmeyi seçti.”