MOVEit Transfer’deki adsız bir güvenlik açığından vahşi ortamda yararlanıldı ve veri ihlallerine neden olması bekleniyor.
MOVEit Transfer, eski adı Ipswitch olan yazılım üreticisi Progress tarafından pazarlanan popüler bir dosya aktarım aracıdır. Sıfır gün güvenlik açığı, yayınlandığı sırada bir CVE’ye atanmamıştır.
Şirket, geliştiricilerin yama üzerinde çalıştığını duyurdu.
Şirket, “MOVEit Transfer müşterisiyseniz, MOVEit Transfer ortamınızı korumaya yardımcı olmak için aşağıda belirtildiği gibi hemen harekete geçmeniz son derece önemlidir.”
MOVEit Transfer’de sıfır gün güvenlik açığı
MOVEit, kuruluşların SFTP–, SCP– ve HTTP tabanlı yüklemeleri kullanarak taraflar arasında güvenli dosya aktarımı yapmasına olanak tanır.
Şirkete göre, MOVEit Transfer’deki güvenlik açığı, yükseltilmiş ayrıcalıklar ve ortama yetkisiz erişim elde etmek için kullanılabilir.
Güvenlik açığı, MOVEit Transfer web uygulamasında veritabanına erişime izin verebilecek bir SQL enjeksiyonudur.
Bir bilgisayar korsanı, kullandıkları veritabanı motoruna bağlı olarak veritabanının yapısı ve içeriği hakkında da bilgi edinebilir. Yani, MySQL, Microsoft SQL Server veya Azure SQL Server. SQL deyimlerini çalıştırarak veritabanını silebilir.
Siber güvenlik şirketi Reliaquest tarafından hazırlanan bir tehdit analizi raporunda, “Bu güvenlik açığının vahşi ortamda aktif olarak kullanıldığı gözlemlendi, bu da artan ayrıcalıklara ve bir ortama potansiyel yetkisiz erişime yol açabilir” dedi.
“ReliaQuest, en az 27 Mayıs 2023’ten beri bu güvenlik açığından yararlanıldığını gözlemledi.”
MOVEit Transfer’deki sıfır gün güvenlik açığının etkisi
Etkilenen ürünlerin ve mevcut güncellenmiş sürümlerin ekran görüntüsü (Fotoğraf: İlerleme)
Şirkete göre, MOVEit Transfer’in hiçbir sürümü bu güvenlik açığından etkilenmedi. Kullanıcılardan sabit sürümlere yükseltmeleri istenir.
Raporlara göre, MOVEit Transfer’deki kusurdan yararlanılarak çeşitli kuruluşlardan toplu veri indirme işlemi gerçekleştirildi. Cihazları ne zaman ve hangi siber suç grubunun ele geçirdiği konusunda netlik yok.
Bir yama hazırlanırken, şirket dünya çapındaki müşterilerini bu taviz göstergelerine dikkat etmeye çağırdı.
uzlaşma göstergeleri
| Gösterge | Tip | Bağlam |
| C:\Windows\TEMP\[random]\[random].cmdline | Klasör yolu | human2.aspx dosyasını oluşturmak için yürütülen komut dosyası. Klasör yolu ve dosya adı rastgele seçilir. |
| insan2.aspx | Dosya adı | Sömürü sırasında kullanılan web kabuğu. |
| human2.aspx.lnk | Dosya adı | Sömürü sırasında kullanılan web kabuğu. |
| POST /moveitisapi/moveitisapi.dll | HTTP GÖNDERİSİ | |
| POST /guestaccess.aspx | HTTP GÖNDERİSİ | |
| POST /api/v1/klasörler/[random]/Dosyalar | HTTP GÖNDERİSİ | |
| 5.252.189.0/24 | CIDR | Saldırgan komuta ve kontrolü |
| 5.252.190.0/24 | CIDR | Saldırgan komuta ve kontrolü |
| 5.252.191.0/24 | CIDR | Saldırgan komuta ve kontrolü |
| 198.27.75.110 | IPv4 | Saldırgan komuta ve kontrolü |
| 209.222.103.170 | IPv4 | Saldırgan komuta ve kontrolü |
| 84.234.96.104 | IPv4 | Saldırgan komuta ve kontrolü |
| Sağlık Kontrolü Hizmeti | Kullanıcı Görünen Adı | Webshell, görünen adı ‘Health Check Service’ olan bir MOVEit Transfer kullanıcı hesabı oturumu oluşturur. |
| 0b3220b11698b1436d1d866ac07cc90018e59884e91a8cb71ef8924309f1e0e9 | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
| 110e301d3b5019177728010202c8096824829c0b11bb0dc0bff55547ead18286 | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
| 1826268249e1ea58275328102a5a8d158d36b4fd312009e4a2526f0bfbc30de2 | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
| 2ccf7e42afd3f6bf845865c74b2e01e2046e541bb633d037b05bd1cdb296fa59 | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
| 58ccfb603cdc4d305fddd52b84ad3f58ff554f1af4d7ef164007cb8438976166 | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
| 98a30c7251cf622bd4abce92ab527c3f233b817a57519c2dd2bf8e3d3ccb7db8 | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
| a8f6c1ccba662a908ef7b0cb3cc59c2d1c9e2cbbe1866937da81c4c616e68986 | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
| b5ef11d04604c9145e4fe1bedaeb52f2c2345703d52115a5bf11ea56d7fb6b03 | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
| cec425b3383890b63f5022054c396f6d510fae436041add935cd6ce42033f621 | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
| ed0c3e75b7ac2587a5892ca951707b4e0dd9c8b18aaf8590c24720d73aa6b90c | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
| 0b3220b11698b1436d1d866ac07cc90018e59884e91a8cb71ef8924309f1e0e9 | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
| 110e301d3b5019177728010202c8096824829c0b11bb0dc0bff55547ead18286 | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
| 1826268249e1ea58275328102a5a8d158d36b4fd312009e4a2526f0bfbc30de2 | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
| 2ccf7e42afd3f6bf845865c74b2e01e2046e541bb633d037b05bd1cdb296fa59 | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
| 58ccfb603cdc4d305fddd52b84ad3f58ff554f1af4d7ef164007cb8438976166 | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
| 98a30c7251cf622bd4abce92ab527c3f233b817a57519c2dd2bf8e3d3ccb7db8 | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
| a8f6c1ccba662a908ef7b0cb3cc59c2d1c9e2cbbe1866937da81c4c616e68986 | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
| b5ef11d04604c9145e4fe1bedaeb52f2c2345703d52115a5bf11ea56d7fb6b03 | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
| cec425b3383890b63f5022054c396f6d510fae436041add935cd6ce42033f621 | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
| ed0c3e75b7ac2587a5892ca951707b4e0dd9c8b18aaf8590c24720d73aa6b90c | SHA256 Karma | İstismar sırasında kullanılan Human2.aspx Web kabuğu. |
Şirket, “Yukarıda belirtilen göstergelerden herhangi birini fark ederseniz, lütfen hemen güvenlik ve BT ekiplerinizle iletişime geçin ve Progress Teknik Destek ile bir bilet açın” uyarısında bulundu.
Sömürüye karşı korunmak için hafifletme ve en iyi uygulamalar
MOVEit Transfer’in ana şirketi olan Progress, MOVEit Transfer’deki sıfır gün güvenlik açığının kötüye kullanılmasından kaynaklanan tehditleri caydırmak ve raporlamak için bazı en iyi uygulamaları önerdi. Bu sorun şirket tarafından 31 Mayıs 2023’te ele alındı ve aşağıdaki hafifletme adımları önerildi:
- MOVEit Transfer’e yönelik tüm HTTP ve HTTPs trafiğini devre dışı bırakın. Bunu yapmak için kullanıcılar, söz konusu trafiği 80 ve 443 numaralı bağlantı noktalarında MOVEit’e reddetmek için güvenlik duvarı kurallarını değiştirebilir. Bu, yama güncellendikten sonra tekrar değiştirilebilir.
- Bu adımın bir sonucu olarak, kullanıcılar MOVEit web kullanıcı arayüzünde oturum açamayacak ve MOVEit Otomasyon görevleri çalışmayacaktır.
- Outlook için MOVEit Transfer eklentisi de çalışmaz ve REST, Java ve .NET API’leri çalışmaz.
- Buldukları yetkisiz dosyaları ve kullanıcı hesaplarını inceleyin ve silin. human2.aspx ve .cmdline betik dosyalarının örneklerini silin. Özellikle bilinmeyen IP’lerden yapılan diğer indirmeler için günlükleri inceleyin. MOVEit için hizmet hesabı oturum açma kimlik bilgilerini sıfırlayın.
- Kullanıma sunulan tüm MOVEit Transfer sürümleri için yamaları uygulayın. Lisans dosyası yama için aynıdır.
- Yöneticilerden, Uzlaşma Göstergeleri için ağları, uç noktaları ve günlükleri izlemeleri istenir.
MOVEit gibi dosya aktarım araçlarının popülaritesi, içlerindeki güvenlik açıklarını küresel kuruluşlar için oldukça riskli hale getiriyor.
Dünya çapında 3.000’den fazla kuruluşa hizmet veren yönetilen dosya aktarımı (MFT) yazılımı GoAnywhere’deki bir güvenlik açığı, 2023’ün ilk çeyreğinde en büyük fidye yazılımı saldırılarını başlattı.
Cl0p fidye yazılımı, bir Fortra GoAnywhere MFT RCE güvenlik açığı CVE-2023-0669’dan yararlanarak bir gün geçirdi. Hitachi ve P&G gibi küresel şirketlerden şehir idarelerine ve eyalet hükümetlerine kadar, fidye yazılımı grubu başarılı bir gün geçirdi.