MOVEit Transfer yönetilen dosya aktarımı ürününün operatörü olan Progress Software, şu anda Rusça konuşan Clop siber şantaj çetesi tarafından yaygın olarak kullanılan SQL enjeksiyon hatası olan CVE-2023-34362’den farklı olarak yeni keşfedilen bir güvenlik açığı için ikinci bir yama yayınladı.
Yazma sırasında bir CVE numarası atanmamış olan bu güvenlik açığı, MOVEit Transfer’i başka sorunlar için araştırmak üzere Progress ile birlikte çalışan harici analistler tarafından keşfedildi.
Progress yaptığı açıklamada, “Müşterilerimiz için ek bir koruma katmanı olarak daha ayrıntılı kod incelemeleri yapmak için üçüncü taraf siber güvenlik uzmanlarıyla ortaklık kurduk” dedi.
“Bu kod incelemelerinin bir parçası olarak, siber güvenlik firması Huntress, kötü bir aktör tarafından bir istismar gerçekleştirmek için potansiyel olarak kullanılabilecek ek güvenlik açıklarını ortaya çıkarmamıza yardımcı oldu. Bu yeni keşfedilen güvenlik açıkları, 31 Mayıs 2023’te paylaşılan daha önce bildirilen güvenlik açığından farklıdır. Tüm MOVEit Transfer müşterilerinin, 9 Haziran 2023’te yayınlanan yeni yamayı uygulaması gerekir.”
Söz konusu güvenlik açığı aynı zamanda bir SQL enjeksiyon hatasıdır ve MOVEit Transfer’in tüm sürümlerini etkiler. Progress, yama uygulanmadan bırakılırsa, kimliği doğrulanmamış bir saldırganın MOVEit Transfer veritabanına yetkisiz erişim elde edebileceğini ve ona içeriğini değiştirme ve ifşa etme – yani çalma – yeteneği verecek hazırlanmış bir yük gönderebileceğini söyledi. Bunun CVE-2023-34362’ye benzer bir etkisi olacaktır.
Progress, CVE-2023-34362 yamasını henüz uygulamamış olan kullanıcıların 31 Mayıs’tan itibaren ilk kılavuzuna başvurmaları gerektiğini ve bu da onları artık yeni güvenlik açığından koruyacaktır. İlk yamayı uygulayan ve önerilen düzeltme adımlarını izleyenler, şimdi yalnızca resmi belgelerinde yer alan yama bağlantılarını kullanarak ikinci yamayı burada belirtildiği gibi uygulamaya devam etmelidir. MOVEit Cloud’un da 9 Haziran yaması ile yamalandığını ekledi.
Esneklik açısından Progress, hem yamanın tam yükleyici sürümü hem de kullanıcıların mevcut bir yüklemeye ekleyebileceği bir dinamik bağlantı kitaplığı (DLL) sürümü sağlanır.
MOVEit kullanıcılarına ayrıca beklenmedik dosya indirmeleri gibi olağandışı veya şüpheli etkinlikler için denetim günlüklerini gözden geçirmeleri ve erişim günlüklerini ve sistem günlüklerini incelemeleri önerilir.
Computer Weekly, Huntress Security’ye ulaştı, ancak yayınlandığı sırada bir yanıt almamıştı.
Saat geçiyor
Clop’un çaldığı verileri sızdırmaya başlamasına 72 saatten az bir süre kaldığından, son birkaç gün içinde dünyanın dört bir yanından daha fazla kurban gelmeye başladı. Tarafından bildirildiği gibi, ellerini kaldıranlar arasında Güvenlik HaftasıIllinois ve Minnesota’daki iki ABD eyalet organıdır.
Illinois İnovasyon ve Teknoloji Departmanı, saldırının etkisini araştırdığını, ancak “çok sayıda kişinin” etkilendiğinden şüphelendiğini söylemesine rağmen, hangi verileri kaybettiğini henüz belirlemediğini söyledi. Minnesota Eğitim Bakanlığı (MDE), koruyucu aileye yerleştirilen 95.000 çocuğun adını içeren toplam 24 dosyanın yanı sıra Covid-19 yardımlarından yararlanmaya hak kazanan öğrenciler, üniversite kredisi kazanmak için ders alan öğrenciler ve Minneapolis şehrinde belirli bir okul otobüsü güzergahı.
Clop, kamu kurumlarından alınan verileri sildiğini iddia etti. Durumun böyle olup olmadığı, herhangi bir doğruluk derecesi ile belirlenemez.
Hafta sonu öncesinde Extreme Networks’ün de olaydan etkilendiği ortaya çıktı. Ağ donanımı ve yazılımı tedarikçisinin, müşteri verilerinin alınıp alınmadığını hâlâ değerlendirdiğine inanılıyor.