Yakın zamanda yaygın veri hırsızlığı saldırılarından yararlanan MOVEit Transfer dosya paylaşım platformunun yapımcısı Progress Software, müşterilerini WS_FTP Sunucu yazılımındaki maksimum önem derecesine sahip bir güvenlik açığını düzeltmeleri konusunda uyardı.
Şirket, dünya çapında binlerce BT ekibinin kurumsal düzeydeki WS_FTP Sunucusu güvenli dosya aktarım yazılımını kullandığını söylüyor.
Çarşamba günü yayınlanan bir danışma belgesinde Progress, yazılımın yönetici arayüzünü ve Geçici Aktarım Modülünü etkileyen çok sayıda güvenlik açığını açıkladı.
Bu hafta yamalanan tüm WS_FTP Sunucusu güvenlik kusurlarından ikisi kritik olarak değerlendirildi ve biri şu şekilde izlendi: CVE-2023-40044 maksimum 10/10 önem derecesi alır ve kimliği doğrulanmamış saldırganların, Geçici Aktarım modülündeki bir .NET seri durumdan çıkarma güvenlik açığından başarıyla yararlandıktan sonra uzaktan komutlar yürütmesine izin verir.
Diğer kritik hata (CVE-2023-42657) saldırganların yetkili WS_FTP klasör yolu dışında dosya işlemleri gerçekleştirmesine olanak tanıyan bir dizin geçiş güvenlik açığıdır.
Progress, “Saldırganlar ayrıca WS_FTP Sunucusu dosya yapısının bağlamından kaçabilir ve temeldeki işletim sistemindeki dosya ve klasör konumlarında aynı düzeyde işlemler (silme, yeniden adlandırma, rmdir, mkdir) gerçekleştirebilir.” dedi.
Şirketin her iki güvenlik açığı için CVSS:3.1 derecelendirmesine göre saldırganlar, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda bu güvenlik açıklarından yararlanabilir.
Progress, “Yukarıdaki güvenlik açıklarını ele aldık ve Progress WS_FTP ekibi bir yükseltme yapılmasını şiddetle tavsiye ediyor” diye uyardı.
“En yüksek sürüm olan 8.8.2’ye yükseltme yapmanızı öneririz. Tam yükleyiciyi kullanarak yamalı bir sürüme yükseltmek, bu sorunu düzeltmenin tek yoludur. Yükseltme çalışırken sistemde bir kesinti olacaktır. “
Şirket ayrıca, kullanılmıyorsa güvenlik açığı bulunan WS_FTP Sunucusu Geçici Aktarım Modülünün nasıl kaldırılacağı veya devre dışı bırakılacağı hakkında da bilgi paylaştı.
2.100 başarılı MOVEit veri hırsızlığı saldırısı ve sayım devam ediyor
MOVEit Transfer güvenli dosya aktarım platformundaki sıfır günün Clop fidye yazılımı çetesi tarafından 27 Mayıs’tan itibaren istismar edilmesinin ardından gerçekleşen kapsamlı veri hırsızlığı saldırıları dizisinin ardından ilerleme halen devam ediyor.
Güvenlik firması Emsisoft’un Pazartesi günü paylaştığı tahminlere göre, bu saldırıların sonuçları 2.100’den fazla kuruluşu ve 62 milyondan fazla kişiyi etkiledi.
Kapsamın geniş olmasına ve çok sayıda kurban olmasına rağmen Coveware’in tahminleri, yalnızca sınırlı sayıda kurbanın Clop’un fidye taleplerine boyun eğebileceğini gösteriyor. Bununla birlikte siber suçlu grubunun, yüksek fidye talepleri nedeniyle tahmini 75-100 milyon dolar tutarında ödeme toplaması bekleniyor.
Ayrıca, birden fazla ABD federal kurumunun ve ABD Enerji Bakanlığı’na (DOE) bağlı iki kuruluşun Clop’un veri hırsızlığı saldırılarına kurban gittiğini belirten raporlar da ortaya çıktı.
Clop, Aralık 2020’deki Accellion FTA sunucuları, 2021 SolarWinds Serv-U Yönetilen Dosya Aktarımı saldırıları ve GoAnywhere MFT sıfır dosya aktarımının toplu olarak kullanılması da dahil olmak üzere diğer yönetilen dosya aktarım platformlarını hedef alan çok sayıda yüksek etkili veri hırsızlığı ve gasp kampanyasıyla ilişkilendirilmiştir. Ocak 2023’teki gün.
Salı günü Progress Software, ABD Menkul Kıymetler ve Borsa Komisyonu’na sunulan 8-K formunda 31 Ağustos 2023’te sona eren üçüncü mali çeyreği için yıllık bazda %16 gelir artışı bildirdi.
Progress, “31 Ağustos 2023’te sona eren çeyrek için Form 10-Q’da MOVEit Güvenlik Açığı ile ilgili ek ayrıntılar sağlamayı” amaçladığı için “sıfır gün MOVEit Güvenlik Açığı’ndan kaynaklanan belirli harcamaları” rapora dahil etmedi.