MOVEit aktarım hizmet paketinin, iki SQL enjeksiyonu ve bir Yansıtılmış Siteler Arası Komut Dosyası (XSS) örneği olmak üzere üç güvenlik açığına sahip olduğu tespit edildi. Güvenlik açıkları, 6,1’den (Orta) 8,8’e (Yüksek) kadar değişen çeşitli şiddet seviyeleri sergiliyor. Progress tarafından işletilen MOVEit transfer hizmeti, fidye yazılımı operasyonuyla birçok işletmeyi hedef alan kötü niyetli aktörler tarafından yaygın şekilde istismar edildi. MOVEit güvenlik açığının aralarında Shell, BBC, British Airways, CalPERS, Honeywell ve diğer ABD devlet kurumlarının da bulunduğu birçok firmayı etkilediği bildirildi. Progress, etkilenen ürünlerin kapsamlı bir envanterinin yanı sıra tespit edilen güvenlik açıklarının ayrıntılı bir listesini içeren bir güvenlik uyarısı yayınladı.
CVE-2023-42660 olarak tanımlanan güvenlik açığı, MOVEit Transfer’deki bir SQL enjeksiyon güvenlik açığıyla ilgilidir.
MOVEit Transfer makine arayüzünde, MOVEit Transfer veritabanına yetkisiz erişime olanak tanıyan bir SQL enjeksiyon güvenlik açığının varlığı tespit edildi. Söz konusu güvenlik açığı, MOVEit Transfer makine arayüzüne iyi yapılandırılmış bir veri yükünün gönderilmesi yoluyla bir tehdit aktörü tarafından istismar edilebilir.
Başarılı bir kullanımın potansiyel sonucu, MOVEit veritabanı içeriğinin değiştirilmesi ve açığa çıkarılmasıdır. Ancak bu güvenlik açığından yararlanabilmek için tehdit aktörünün kimlik doğrulamasından geçmesi gerekiyor. Bu güvenlik açığının ciddiyeti, ilerlemeyi izleyen kuruluş tarafından 8,8 (Yüksek) olarak değerlendirildi.
Bu sorundan etkilenen ürünler arasında, tüm sürümlerdeki MySQL ve MSSQL veritabanları da dahil olmak üzere MOVEit Transfer yer alıyor. Bu sorunu çözmek için kullanıcıların Eylül Hizmet Paketi’ne güncelleme yapması önerilir.
CVE-2023-40043 olarak tanımlanan güvenlik açığı, MOVEit Transfer’deki bir SQL enjeksiyon hatasıyla ilgilidir.
MOVEit Transfer çevrimiçi arayüzü, MOVEit Transfer veritabanına yetkisiz erişimle sonuçlanma potansiyeline sahip ek bir SQL enjeksiyon güvenlik açığına sahiptir. Söz konusu güvenlik açığının, MOVEit Transfer’in çevrimiçi arayüzüne iyi hazırlanmış bir veri yükleyen kötü niyetli bir kişi tarafından istismar edilmesi mümkün olabilir.
Başarılı bir kullanımın potansiyel sonucu, MOVEit veritabanı içeriğinin değiştirilmesi ve açığa çıkarılmasıdır. Bir tehdit aktörünün bu güvenlik açığından yararlanabilmesi için MOVEit sistem yöneticisi hesabına erişime sahip olması gerekir. Bu güvenlik açığının ciddiyeti, Progress tarafından yüksek düzeyde riske işaret eden 7,2 olarak değerlendirildi.
Bu sorundan etkilenen ürünler arasında, tüm sürümlerdeki MySQL ve MSSQL veritabanları da dahil olmak üzere MOVEit Transfer yer alıyor. Bu sorunu azaltmak için kullanıcıların Eylül Hizmet Paketi’ne yükseltmeleri ve yönetici hesabına erişimi kısıtlamaları önerilir.
Tanımlanan CVE-2023-42656 güvenlik açığı, MOVEit Transfer’de yansıtılan siteler arası komut dosyası çalıştırma (XSS) sorunuyla ilgilidir.
Belirlenen güvenlik açığı, MOVEit Transfer’in çevrimiçi arayüzündeki Yansıtılmış Siteler Arası Komut Dosyası (XSS)’dir. Bu güvenlik açığından paket oluşturma aşamasında kötü amaçlı bir veri yükü yararlanılabilir. Potansiyel bir düşman, özellikle MOVEit Transfer kullanıcılarını hedeflemek amacıyla zararlı bir veri yükü oluşturma kapasitesine sahiptir. Tehdit aktörü, veri yüküyle etkileşim sırasında kurbanın tarayıcısında kötü amaçlı JavaScript çalıştırma yeteneğine sahiptir.
Bu güvenlik açığının ciddiyeti, Progress tarafından orta düzeyde bir ciddiyet düzeyine işaret eden 6.1 olarak değerlendirilmiştir. Söz konusu güvenlik açığının, MOVEit Transfer ve MySQL veya MSSQL DB dahil olmak üzere birçok ürün üzerinde tüm sürümlerde önemli bir etkisi vardır. Bu sorunu azaltmak için kullanıcıların Eylül Hizmet Paketi’ne yükseltmeleri ve yönetici hesabına erişimi kısıtlamaları önerilir.
Aşağıda, duyarlı ürün sürümlerinin, belgelerin, sürüm notlarının ve düzeltilmiş sürümlerin kapsamlı bir derlemesini sunuyoruz.
Bilgi güvenliği uzmanı, şu anda risk altyapısı uzmanı ve araştırmacısı olarak çalışmaktadır.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.