Son zamanlardaki devasa Clop fidye yazılımı ihlallerinin merkezinde yer alan yazılım MOVEit Transfer, kritik öneme sahip bir SQL enjeksiyon hatasını ve diğer iki daha az ciddi güvenlik açığını gideren bir güncelleme aldı.
SQL enjeksiyon güvenlik açıkları, saldırganların bir veritabanına erişim elde etmek veya kod yürüterek kurcalamak için özel sorgular oluşturmasına olanak tanır. Bu saldırıların mümkün olabilmesi için, hedef uygulamanın uygun girdi/çıktı veri temizleme eksikliğinden muzdarip olması gerekir.
MOVEit Transfer’in geliştiricisi olan Progress, ürünlerinde CVE-2023-36934 olarak izlenen ve kullanıcı kimlik doğrulaması olmadan yararlanılabilen kritik bir sorun da dahil olmak üzere çok sayıda SQL enjeksiyon sorunu keşfetti.
Progress’in güvenlik bülteninde, “MOVEit Transfer web uygulamasında, kimliği doğrulanmamış bir saldırganın MOVEit Transfer veritabanına yetkisiz erişim elde etmesine olanak verebilecek bir SQL enjeksiyon güvenlik açığı belirlendi” yazıyor.
“Bir saldırgan, MOVEit Transfer uygulaması uç noktasına hazırlanmış bir yük gönderebilir ve bu da MOVEit veritabanı içeriğinin değiştirilmesine ve ifşa edilmesine neden olabilir” – MOVEit Transfer danışma belgesi
İkinci SQL enjeksiyon kusuru, CVE-2023-36932 olarak tanımlandı ve bir saldırganın kimlik doğrulamasından sonra bundan yararlanabileceği için yüksek önem derecesi aldı.
İki SQL enjeksiyon güvenlik sorunu, MOVEit Transfer’in 12.1.10 ve daha eski, 13.0.8 ve daha eski, 13.1.6 ve daha eski, 14.0.6 ve daha eski, 14.1.7 ve daha eski ve 15.0.3 ve daha eski sürümleri dahil olmak üzere birden çok sürümünü etkiler. .
Bu düzeltme eki ile giderilen üçüncü bir güvenlik açığı, saldırganların programın beklenmedik bir şekilde sonlandırılmasına neden olan yüksek önem düzeyine sahip bir sorun olan CVE-2023-36933’tür.
Bu kusur MOVEit Transfer sürümlerini 13.0.8 ve daha eski, 13.1.6 ve daha eski, 14.0.6 ve daha eski, 14.1.7 ve daha eski ve 15.0.3 ve daha eski sürümleri etkiler.
MOVEit Transfer kullanıcılarının, aşağıdaki tabloda vurgulanan ve belirtilen güvenlik açıklarını gideren sürümlere yükseltmeleri önerilir.
Progress, güvenlik Hizmet Paketlerini benimsiyor
Yaklaşık bir ay önce, başta Clop fidye yazılımı çetesi olmak üzere bilgisayar korsanları, dünya çapındaki büyük kuruluşlardan veri çalmak için MOVEit Transfer ürünündeki CVE-2023-34362 olarak izlenen sıfır gün güvenlik açığından toplu olarak yararlandı.
Yazılım satıcısı, kusuru keşfinden birkaç gün sonra düzeltti, ancak düzeltmelerin vahşi doğadaki ilk sömürünün başlamasından yaklaşık iki yıl sonra geldiği ortaya çıktı.
Progress kısa bir süre sonra bir güvenlik denetimi başlattı ve bu da kritik öneme sahip ek kusurların keşfedilmesine ve düzeltilmesine yol açtı.
Amerikan yazılım şirketi hala güvenlik olayının büyük yankılarıyla uğraşırken, her ay yayınlanan “Hizmet Paketleri” adı verilen düzenli güvenlik güncellemeleri sunmaya karar verdi.
Bu yeni yaklaşımın bir parçası olarak, MOVEit Transfer yöneticilerinin düzeltmeleri eskisinden daha hızlı ve daha kolay uygulamasına olanak tanıyan yazılım yükseltme süreci modernize ediliyor.