Saldırganların savunmasız Progress Software’in MOVEit Transfer kurulumlarını tehlikeye atmak için kullandıkları sıfır gün güvenlik açığı, sonunda bir kimlik numarasına sahip: CVE-2023-34362.
Mandiant, Rapid7 ve diğer güvenlik araştırmacıları tarafından paylaşılan bilgilere göre, saldırganlar fırsatçı bir şekilde ABD devlet kurumları ve bankaları da dahil olmak üzere açığa çıkmış olabildiğince çok kuruluşu hedef almış görünüyor.
Microsoft, ilk saldırıları Cl0p fidye yazılımı grubuna (aka FIN11 veya yeni tehdit aktörü taksonomisine göre Lace Tempest) atfediyor.
Mandiant ayrıca bu saldırganlar tarafından kullanılan taktikler, teknikler ve prosedürler (TTP’ler) ile FIN11 ile ilişkili olanlar arasındaki benzerliklere dikkat çekti: dosya aktarım sistemlerini hedeflemek için sıfır gün güvenlik açıklarından yararlanma ve veri hırsızlığı için özel web kabuklarının kullanılması.
Şirket araştırmacıları, “Mandiant, son zamanlarda CLOP ile ilişkili en az bir aktörün SQL enjeksiyonları üzerinde çalışacak ortaklar aradığını da gözlemledi” dedi. (CVE-2023-34362, MOVEit Transfer veritabanına yetkisiz, uzaktan erişim sağlayan bir SQL enjeksiyon güvenlik açığıdır.)
Saldırganlar hassas verileri çaldı
Progress Software, CVE-2023-34362’yi ele alan güvenlik danışma belgesinin ilk sürümünü 31 Mayıs’ta yayınladı ve o günden önce vahşi ortamda istismar edildiğini doğruladı.
Olay müdahale anlaşmalarına dayanarak Mandiant, istismara ilişkin en erken kanıtın 27 Mayıs 2023’te ortaya çıktığını ve bazı durumlarda saldırganların dakikalar içinde verileri çalmaya başladığını söylüyor.
Şirket web kabuğuna Lemurloot adını verdi.
“Kötü amaçlı yazılım, sabit kodlanmış bir parola aracılığıyla gelen bağlantıların kimliğini doğrular ve MOVEit Transfer sisteminden dosyaları indirecek, Azure sistem ayarlarını çıkaracak, ayrıntılı kayıt bilgilerini alacak, belirli bir kullanıcı oluşturup ekleyecek veya aynı kullanıcıyı silecek komutları çalıştırabilir. LEMURLOOT ile etkileşime giren sisteme döndürülen veriler gzip ile sıkıştırılmıştır,” diye açıklama yapan Mandiant’ın analistleri, uzlaşma göstergelerini ve web kabuğunu ve ilişkili yapıtları tespit etmeye yönelik YARA kurallarını paylaştı.
Ayrıca, bazı durumlarda saldırganların MOVEit Transfer uygulama ayarlarından büyük hacimli dosyalar ve Azure Storage Blob bilgileri (kimlik bilgileri dahil) çaldığını doğruladılar, “bu güvenlik açığından yararlanan aktörlerin Azure’dan dosyaları çalıyor olabileceğini öne sürüyorlar. kurbanlar cihaz verilerini Azure Blob depolamada depoluyor.”
Rapid7 olay müdahale ekipleri, en az 27 Mayıs’a kadar uzanan saldırıları da doğruladı. “Ekiplerimiz, birden fazla müşteri ortamında aynı web kabuğu adını gözlemledi ve bu, otomatik istismara işaret ediyor olabilir” dediler.
Kuruluşunuz kurban düşerse ne yapmalısınız?
MOVEit Transfer’in web arayüzünü son 30 gün içinde internette ifşa eden her kuruluş, güvenlik ihlali kanıtı için sistemi analiz etmelidir ve muhtemelen bunları bulacaktır.
Mandiant CTO’su Charles Carmakal, “Hangi verilerin çalındığını değerlendirin ve veri ihlali açıklama yükümlülüklerinizi olabildiğince çabuk belirleyin,” tavsiyesinde bulundu.
Rapid7’nin olay müdahale ekipleri, saldırganlar tarafından hangi verilerin çalındığını belirlemenin basit bir yolunu gösterdi: kullanıcıların MOVEit olay günlüklerine başvurması gerekiyor, “önce uygulamayı silme veya önceki bir yedekten geri yükleme.”
“Progress Software’in mühendislik ekibi Rapid7’ye MOVEit Transfer’de olay kaydının varsayılan olarak etkin olmadığını, ancak müşterilerinin bunu kurulumdan sonra etkinleştirmesinin yaygın olduğunu söyledi. Bu nedenle, MOVEit uygulamasının birçok örneğinde bu kayıtlar ana bilgisayarda mevcut olabilir,” diye açıkladılar.
Soruşturma tamamlandıktan sonra, etkilenen kuruluşlar, aynı güvenlik açığından yararlanan sonraki saldırıları önlemek için önerilen yamayı/güvenlik güncellemesini uygulamalı veya azaltıcı önlemler uygulamalıdır.
Carmakal ayrıca Cl0p’nin e-postalarının zaman zaman spam ağ geçitleri tarafından engellendiğini veya çalışanlar tarafından göz ardı edildiğini, bu nedenle mağdur kuruluşların “e-keşif aramalarını ve e-posta karantina incelemelerini dikkate alması gerektiğini” belirtti.