Saldırganlar birkaç kritik hatanın üstesinden gelmeye çalışıyor gibi görünüyor Progress Yazılımı bu hafta açıklandı MOVEit dosya aktarım uygulamasında, şirketin neredeyse tam bir yıl önce açıkladığı sıfır gün kusuruyla neredeyse aynı gaddarlıkla.
Yeni kusurlar için yamalar mevcut olsa da, etkilenen kuruluşlar için şu anda en büyük soru, özellikle yaygın olarak bulunan bir kavram kanıtlama (PoC) istismarıyla, sistemlerini hedef alan rakipleri yenmek için bunları yeterince hızlı uygulayıp uygulayamayacaklarıdır.
Yalnızca Yama Yapmak Yetersizdir
Zaten güncellemeleri uygulamış olanların bile yapacak daha çok işi var çünkü Progress’in kusurlardan biri için yayınladığı orijinal yama, yazılım üreticisinin yama sürümünden sonra keşfettiği yeni sorunları hafifletmiyor.
Yeni MOVEit Transfer güvenlik açıklarının her ikisi de SFTP modülündeki hatalı kimlik doğrulama sorunlarıdır. Saldırganın, etkilenen bir örnekte potansiyel olarak herhangi bir kullanıcının kimliğine bürünmesine ve bunun kontrolünü ele geçirmesine olanak tanır. Kusurlardan biri şu şekilde izlendi: CVE-2024-58062023.0.1’den önceki 2023.0.0, 2023.1.6’dan önceki 2023.1.0 ve 2024.0.2’den önceki 2024.0.0 sürümlerini etkileyen MOVEit Transfer sürümlerini etkiler. Diğeri olarak tanımlanan CVE-2024-5805MOVEit Gateway’i etkiler: 2024.0.0.
Progress, 25 Haziran’da CVE-2024-5806’yı ilk kez açıkladığında şirket, kusura CVSS ölçeğinde mümkün olan maksimum 10 üzerinden 7,4’lük orta şiddette bir puan atadı. Progress, araştırmacıların ardından bu puanı hızla 9,1’e yükseltti. bekçi üçüncü taraf bir bileşende bir güvenlik açığı keşfetti (IPWorks SSH) MOVEit Transfer’de kullanılır. Progress, sorunun, CVE-2024-5806 yamasını zaten uygulamış olabilecekler de dahil olmak üzere kuruluşlara yeni riskler getirdiğini belirtti.
Orijinal tavsiye belgesine yapılan bir güncellemede Progress, etkilenen kuruluşlara yamayı yüklemelerini ve ayrıca MOVEit Transfer sunucularına genel gelen RDP erişimini engellemelerini ve giden aktarımları yalnızca bilinen ve güvenilir uç noktalarla sınırlamalarını önerdi.
Bir İnternet taraması 25 Haziran’da gerçekleştirilen Censys çoğu ABD’de olmak üzere çevrimiçi olarak yaklaşık 2.700 MOVEit Transfer örneğini ortaya çıkardı. CVE-2024-5806’yı hedef alan istismar girişimlerini gözlemlediğini bildiren İnternet tarama varlığı ShadowServer neredeyse anında Progress kusuru açıkladıktan sonra bazı 1.800 örnek 27 Haziran’dan itibaren çevrimiçi.
İstismarı Nispeten Kolay
Censys’in baş güvenlik araştırmacısı Emily Austin, “Güvenlik açığına dair anlayışımıza göre, istismarın olağanüstü derecede zor görünmediğini” söylüyor. Teorik olarak, bir aktörün yama yapılmamış bir MOVEit Transfer örneğini tanımlaması ve hizmete erişim için geçerli bir kullanıcı adı bilmesi gerektiğini söylüyor. Austin, “Geçerli bir kullanıcı adını bilmek bir engel gibi görünse de, watchTowr araştırmacılarının geçerli MOVEit Transfer örneği kullanıcı adlarını numaralandırmak için bir yöntem keşfetmesiyle birleşen küçük bir OSNIT, bunu biraz önemsiz hale getiriyor” diye belirtiyor.
Yeni kusurlar Progress’in açıklanmasından bir yıl sonra ortaya çıktı CVE-2023-343622023’ün en çok istismar edilen kusurlarından biri olarak sıralanan MOVEit Transfer’daki bir SQL enjeksiyonu sıfır günlük güvenlik açığı. Kusuru keşfettiğini iddia eden Cl0p fidye yazılımı grubu, geçen yıl bunu yıkıcı bir şekilde istismar eden birçok grup arasındaydı.
Action1’in başkanı ve kurucu ortağı Mike Walters, etkilenen kuruluşların bu kadar geniş çapta hedef alındıkları göz önüne alındığında gecikmeyi göze alamayacağını söylüyor. Walters, “Sonuçları yıkıcı olabilir çünkü bu güvenlik açıkları bir saldırganın sunucuyu ele geçirmesine olanak tanır” diyor. “CVSS puanının 9,1 olması ve PoC’nin mevcut olmasıyla, güvenlik açığı muhtemelen önde gelen APT gruplarının araç setine oldukça hızlı bir şekilde eklenecektir.” Geçen sefer saldırıya uğrayan şirketler bilgi güvenliklerini herhangi bir şekilde artırmamışlarsa, sonuçlarının geçen seferkiyle aynı olabileceği konusunda uyarıyor.
Austin, CVE-2024-5806’nın, Cl0p’nin 2023 boyunca istismar ettiği MOVEit Transfer’deki SQL enjeksiyon hatasından biraz daha karmaşık olduğunu söylüyor. Öyle olsa bile, örnek yöneticilerin yine de yeni kusuru çok ciddiye alması ve Progress Software tarafından sağlanan hafifletme kılavuzlarını takip etmesi gerektiğini söylüyor.
Austin, “MOVEit Transfer örneklerinin kullanım veya yama durumunu görmenin bir yolu yok, ancak 25 Haziran 2024 Salı itibarıyla internete açık 2.700 MOVEit Transfer örneğinin bulunduğunu biliyoruz” diyor. “Bu, geçen yılın bu zamanlarında gözlemlediğimiz MOVEit Transfer risklerinin sayısına çok benziyor ve bu da aracın çeşitli güvenlik sorunlarına rağmen hala yaygın olarak kullanıldığını gösteriyor.”
İyimserliğin Nedeni?
Tehdidin ciddiyetine rağmen, Progress’in bu hafta açıkladığı yeni kusurların, özellikle de CVE-2024-5806’nın, yamalar zaten mevcut olduğundan, geçen yılki SQL enjeksiyon kusuru kadar fazla hasara neden olmayacağına dair hala bazı iyimserlikler var.
SecurityScorecard’ın baş güvenlik analisti Paul Prudhomme, şu anda bu güvenlik açığından yararlanmanın geçen yıl CVE-2023-34362’yi kullanan büyük kampanya kadar yaygın olmasının pek mümkün görünmediğini söylüyor. “Bu bir sıfır gün güvenlik açığıydı ve tehdit aktörlerine bir yama yayınlanmadan önce bu güvenlik açığından yararlanmaları için daha fazla zaman sağlıyordu” diyor. “Bu durumda, yamalar zaten mevcut olduğundan tehdit aktörlerinin daha az zamanı var; yapabilecekleri en fazla kuruluşların yama uygulamadaki gecikmelerinden yararlanmak oluyor, dolayısıyla bu zaman aralığı, yamaların etkisini en aza indirmek için çok önemli.”
Prudhomme, CVE-2024-5806 gibi güvenlik açıklarına karşı tek başına yama yapmanın yeterli olmadığını yineliyor. “Yama yapmayı tehdit istihbaratı ve proaktif risk yönetimiyle birleştiren katmanlı bir güvenlik yaklaşımı şarttır,” diyor. “Kuruluşlar, güvenliğe yönelik çok yönlü bir yaklaşımı önceliklendirerek, gelişen siber tehditlere karşı dayanıklılık oluşturabilirler.”