Saldırganlar tarafından istismar edilen Progress Software’in MOVEit Transfer çözümündeki sıfır gün güvenlik açığı hakkında yeni bilgiler ve – daha da önemlisi – müşteriler için yamalar ve yardımcı talimatlar var.
MOVEit Transfer sıfır gün ve güncellenmiş hafifletme ve düzeltme önerileri
Progress Software, güvenlik danışma belgesini güncelledi ve güvenlik açığının (hala bir CVE numarası yok), MOVEit Transfer web uygulamasında kimliği doğrulanmamış bir saldırganın MOVEit Transfer veritabanına yetkisiz erişim elde etmesine izin verebilecek bir SQL enjeksiyon güvenlik açığı olduğunu doğruladı.
“Kullanılan veritabanı motoruna (MySQL, Microsoft SQL Server veya Azure SQL) bağlı olarak, bir saldırgan, veritabanı öğelerini değiştiren veya silen SQL deyimlerini yürütmenin yanı sıra veritabanının yapısı ve içeriği hakkında bilgi çıkarabilir.” açıkladılar.
Tüm MOVEit Transfer sürümleri kusurdan etkilenir.
Danışma belgesi ayrıca sabit sürümlere bağlantılar, uzlaşma göstergeleri (IoC’ler) – komut dosyaları, web kabukları, C2 IP adresleri, kullanıcı hesapları – ve daha kapsamlı temizleme önerileri içerir:
- MOVEit Transfer ortamına giden tüm HTTP ve HTTP trafiğini devre dışı bırakma
- Yetkisiz dosyaları ve kullanıcı hesaplarını silme ve kimlik bilgilerini sıfırlama
- Yamayı uygulama/kurulumu sabit bir sürüme güncelleme
- MOVEit Transfer ortamına giden tüm HTTP ve HTTP trafiğini etkinleştirme
- Dosyaların başarıyla silinip silinmediğini ve yetkisiz hesap kalmadığını kontrol etme – eğer öyle değilse, temizleme işlemini gerçekleştirin ve hizmet hesabı kimlik bilgilerini yeniden sıfırlayın
- Temizleme başarılı olursa, kuruluşlar ağı, uç noktaları ve IoC’ler için günlükleri izlemelidir.
Huntress, TrustedSec ve Rapid7’den araştırmacılar web kabuğunu/arka kapıyı analiz ettiler, savunucuların IoC’leri algılamak ve şüpheli dosyaları avlamak için kullanabileceği YARA imzalarını ve SIGMA kurallarını yayınladılar ve saldırılar hakkında daha fazla teknik bilgi paylaştılar.
Bu Reddit dizisi, aynı zamanda, bazıları güvenliği ihlal edilmiş bazı kuruluşlardaki anonim sistem yöneticileri ve güvenlik uzmanları tarafından sağlanmış gibi görünen en son bilgi ve küçük bilgiler için iyi bir kaynaktır.
serpinti
Kaç kuruluşun saldırıya uğradığı hala bilinmiyor, ancak Rapid7, yönetilen hizmetler ekiplerinin, birden fazla müşteri ortamında kusurdan yararlanıldığını gözlemlediğini söylüyor.
“Huntress, iş ortağı tabanımızda bu MOVEit Transfer yazılımına sahip ondan az kuruluş belirledi, ancak Shodan, açık İnternet’te halka açık 2.500’den fazla sunucu olduğunu öne sürüyor. Huntress’te tehdit avcısı ve araştırmacı olan John Hammond, birkaç kuruluşumuzdan yalnızca biri tam bir saldırı zinciri ve tüm eşleşen uzlaşma göstergelerini gördü.
İnternete bakan sunucuların çoğu ABD’de bulunmaktadır.
Güvenlik araştırmacısı Kevin Beaumont, “web kabuklarının birkaç hafta önce yerleştirilmeye başladığını” ve kendisine “bu zaman diliminde etkinlik tespit eden birden çok kuruluşta çalışan birden çok olayın” söylendiğini söylüyor.
Öyle görünüyor ki, tespit edilen veri hırsızlığı Anma Günü hafta sonunda gerçekleşirken, hazırlıklar haftalardır (aylarca değilse bile) sürüyordu.
Beaumont ayrıca, bu olayın kendisine “güvenilir bir şekilde söylendiğini”, Progress Software’in kaldırdığı MOVEit SaaS teklifini (MOVEit Cloud) da etkilediğini söylüyor.
Şimdiye kadar, saldırganların çalınan bilgileri geri almak için etkilenen kuruluşlardan para talep ettiğine dair bir rapor yok.