Progress Software müşterileri sessizce uyardı: WS_FTP Sunucusunda sekiz güvenlik açığıMOVEit’in arkasındaki şirketten bir başka dosya aktarım hizmeti.
Şirket haberi ertesi gün paylaştı. mali üçüncü çeyrek kazanç çağrısı.
Sekiz güvenlik açığından ikisi, 10 CVSS puanı ve 10 üzerinden 9,9 ile kritik öneme sahiptir. CVE-2023-40044 Ve CVE-2023-42657, sırasıyla. Şirket Çarşamba günü yaptığı açıklamada, müşterilerin hizmetlerini herhangi bir internet bağlantısından uzaktan yönetmelerine olanak tanıyan dosya aktarım hizmetinin tüm sürümlerinin etkilendiğini söyledi. Bir araştırmaya göre binlerce BT ekibi WS_FTP Sunucusunu kullanıyor ürün sayfası.
Progress Software sözcüsü Cybersecurity Dive’a, WS_FTP Sunucusundaki güvenlik açıklarından herhangi birinin istismar edildiğine dair bir gösterge bulunmadığını söyledi.
Sözcü, e-posta yoluyla “Bir düzeltme yayınladık ve müşterilerimizi yazılımımızın yamalı sürümüne yükseltme yapmaya teşvik ettik” dedi. “Güvenlik bizim için son derece önemlidir ve üründeki güvenlik açıklarını mümkün olduğunca en aza indirmek için geliştirme uygulamalarından yararlanırız.”
Şirket, araştırmacılarla birlikte güvenlik açıklarını sorumlu bir şekilde açıkladığını söyledi. En kritik güvenlik açığı Assetnote tarafından keşfedildi ve diğer dört güvenlik açığı Deloitte’a atfedildi.
Tanium’un Amerika Kıtası baş güvenlik danışmanı Tim Morris, e-posta yoluyla şunları söyledi: “MOVEit bize bir şey öğrettiyse, o da bu dosya aktarımındaki güvenlik açıklarının ciddiye alınması gerektiğidir.”
En kritik güvenlik açığı, CVE-2023-40044önceden kimliği doğrulanmış bir saldırganın, temeldeki WS_FTP Sunucusu işletim sistemi üzerinde uzaktan komutlar yürütmek için Geçici Aktarım modülündeki bir .NET seri durumdan çıkarma güvenlik açığından yararlanmasına olanak tanır.
Morris, “Onları yakalayın ve onarın” dedi. “Kritik güvenlik açıkları tam da bu kadar kritik.”
Açıklama, Clop’un MOVEit’teki sıfır gün güvenlik açığından toplu olarak yararlanmasının aşağı yönlü etkisinin artmaya devam etmesiyle birlikte geldi. 2.100’den fazla kuruluş ve en az 62 milyon kişi etkilendi.
Henüz Bugüne kadar İlerleme açısından iş etkisi “minimum” oldu, CEO Yogesh Gupta Salı günü şirketin kazanç çağrısında şunları söyledi.