Cl0p çetesi tarafından CVE-2023-34362 aracılığıyla yapılan MOVEit Transfer hack’inin sonuçları, Birleşik Krallık merkezli birkaç şirketin verilerinin bir kısmının çalındığını doğruladığı için genişliyor.
Mağdur kuruluşlar
Şimdiye kadar teyit edilen kurbanlar, “Büyük işletmeler ve kamu sektörü kuruluşları için İngiltere ve İrlanda’nın önde gelen bordro ve İK çözümleri sağlayıcısı” Zellis ve onun aracılığıyla (diğer şirketlere ait verileri işlerken) British Airways, BBC, Aer Lingus’tur. ve Çizmeler.
Zellis’in müşterisi olarak birçok yüksek profilli kuruluş var, ancak BBC’ye saldırganların sekiz müşteri firmasından gelen verileri çaldığını söyledi. Hangilerinin olduğu açıklanmayacak, ancak bu şirketlerin bilgilendirildiğini ve sırayla personelini bilgilendirdiklerini söyledi. Çalınan bilgiler, banka hesap bilgilerini ve ulusal sigorta numaraları gibi kişisel verileri içerir.
Rapid7 Güvenlik Araştırmaları Kıdemli Müdürü Caitlin Condon, Help Net Security’ye şirketin küçük işletmelerden on binlerce varlığa sahip işletmelere kadar çok çeşitli kuruluşlarda MOVEit Transfer uyarılarına yanıt verdiğini söyledi.
“Diğer istihbarat firmalarının belirttiği gibi, belirli bir hedef dikey veya kurumsal profil yok gibi görünüyor. Etkilenen kuruluşlar şimdiye kadar teknoloji, sigorta, imalat, belediye yönetimi, sağlık ve finansal hizmetler sektörlerini kapsadı. Sızdırılan veri miktarı duruma göre değişir, ancak hizmet ekiplerimiz birkaç düzine gigabayt verinin çalındığı birden fazla olaya müdahale etti” dedi.
Daha önce fidye yazılımı kullanan ancak şimdi yalnızca hassas verileri ele geçirmeye ve şirketleri ödeme yapmazlarsa çevrimiçi olarak sızdırmakla tehdit etmeye yönelen Cl0p çetesi, saldırıyı üstlendi ve BleepingComputer’a çalınan verilerin bir kısmını, yani ait olan verileri zaten sildiğini söyledi. hükümetlere, orduya ve çocuk hastanelerine. (Elbette, bu iddiaları kesin olarak kanıtlamanın bir yolu yoktur.)
Diğer suç grupları Cl0p’nin liderliğini takip edebilir
Daha önce bildirdiğimiz gibi, MOVEit Transfer müşterileri için düzeltmeler ve hafifletmeler mevcuttur, ancak MOVEit Transfer’in web arayüzünü son 30 gün içinde internette açığa çıkaran her kuruluş, büyük olasılıkla bir uzlaşma kanıtı bulacaktır.
Temizlemeden (düşen web kabuklarını ve ilgili yapıtları kaldırma) ve yazılımı yükseltmeden önce, hangi verilerin alındığını görmek için günlükleri toplamaları gerekir.
MOVEit Transfer ortamlarına yönelik tüm HTTP ve HTTP trafiğini devre dışı bırakarak güvenlik açığının güncellenmesi veya hafifletilmesi – yazılım üreticisinin talimatına göre – hızlı bir şekilde yapılmalıdır, çünkü diğer tehdit grupları da bu güvenlik açığından yararlanmaya başlayabilir.
“Bu, Cl0p fidye yazılımı grubunun üç yıl içinde gasp için webapps’te sıfır günü üçüncü kez kullanması, btw. Güvenlik araştırmacısı Kevin Beaumont, her üç durumda da marka güvenliği olan ürünlerdi” dedi. “Ortaya çıkan tehditler açısından, Batı fidye yazılımı gruplarının tehdidini kabul edemezken bundan daha fazlasını bekleyin.”
Yazılım güvenliği sorunu
Avrupa’nın en büyük MSSP’si Orange Cyberdefense’de Kıdemli Güvenlik Araştırmacısı olan Wicus Ross, MOVEit Transfer gibi yazılımların internette ifşa edilmek üzere tasarlandığından ve ABD ve Avrupa’da bulunan kuruluşlar tarafından yaygın olarak kullanıldığı için hedef alınmasının şaşırtıcı olmadığını söylüyor.
“Yazılımı çalıştıran yaklaşık 1.500 sunucu şu anda internette tanımlanabilir. Bu güvenlik açığından yararlanmak kolaydır, bu nedenle bu sunucuların birçoğunun zaten ele geçirilmiş olduğunu ve muhtemelen daha birçok kurbanın da onu takip edeceğini tahmin ediyoruz” dedi.
Ayrıca, tüm yazılım satıcılarının güvenlik açıklarıyla mücadele ettiğini, ancak bunun gibi güvenlik açıklarının, yazılımı kullanan kurbanlar tarafından haksız yere karşılanabilecek ciddi sonuçlara yol açabileceğini belirtti.
“Güvenli yazılım yazmak, bir satıcı için maliyetleri artırabilir, bu da pazarda dezavantaja neden olabilir, bu nedenle genellikle kestirme yollara başvurulur. ‘Güvenlik borcu’ bu şekilde tahakkuk ettirilir ve yazılım tedarik zincirine aktarılır. Ne zaman bir satıcı kasıtlı bir güvenlik tavizi verse veya dürüst bir güvenlik hatası yapsa, sonuçta ortaya çıkan bir siber güvenlik olayının kurbanları maliyetleri karşılamak zorunda kalacak. Bu tekrar eden model, işletmeler ve güvenlik uzmanları için giderek artan bir hayal kırıklığına neden oluyor” diye ekledi.
“Yazılım kullanıcıları, iyi bir yazılımın maliyetinin alıştığımızdan çok daha yüksek olduğunu fark etmek zorunda kalabilir, ancak aynı zamanda birçok kişi, ürünlerindeki kusurlarla ilgili siber olaylardan satıcıların sorumlu tutulması gerektiğini savunuyor. Bu elbette kaygan bir eğimdir, çünkü uyum ve düzenleme yoluyla sağlanan bu tür bir güvenlik, oyunlaştırmaya ve kötüye kullanıma tabidir. Bu nedenle, hukuk davalarına karşı bir tür tazminatın, iyi yazılım geliştirme uygulamalarına abone olan satıcılar için bir teşvik olarak kullanılabileceği de önerilmiştir.
“Bu güvenlik açıklarını azaltmanın ve neden oldukları etkiyi hafifletmenin, sıfırdan sağlam güvenlik ilkeleriyle tasarlanan ürünlerden herkesin yararlanmasını sağlamak için gerçek siyasi irade ve endüstri işbirliğini gerektireceği açıktır.”