Progress Software’in kurumsal yönetilen dosya aktarım çözümü MOVEit Transfer’deki kritik bir sıfır gün güvenlik açığı, saldırganlar tarafından kurumsal verileri ele geçirmek için kullanılıyor.
“[The vulnerability] artan ayrıcalıklara ve ortama potansiyel yetkisiz erişime yol açabilir,” diye uyardı şirket Çarşamba günü ve müşterilere “ekibimiz bir yama hazırlarken MOVEit Transfer ortamlarını korumak için harekete geçmelerini” tavsiye etti.
Uyarı ayrıca onlara en az son 30 gün içinde yetkisiz erişim göstergelerini kontrol etmelerini söyler, bu nedenle şirket muhtemelen ilk istismarların ne zaman başladığını tam olarak belirleyememiştir.
Ne oluyor?
“Bir grup insan, Birleşik Krallık’ta yoğun olarak kullanılan güvenli bir dosya aktarım uygulaması olan MoveIT’teki bir güvenlik açığı konusunda beni uyardı. Biraz araştırma yaptım ve aktif sömürü altında sıfır gün gibi görünüyor. Güvenlik araştırmacısı Kevin Beaumont, tehdit aktöründe henüz %100 değil ancak fidye yazılımı/gasp gruplarından biri olabilir” diyor.
Siber güvenlik uzmanı Daniel Card’a (ve Shodan’a) göre, 2.500’den fazla MOVEit Transfer sunucuları, çoğunlukla ABD’de olmak üzere internette keşfedilebilir.
MOVEit Transfer güvenlik açığı: Ne yapabilirsiniz?
Progress Software, kullanıcılara MOVEit Transfer ortamına giden tüm HTTP ve HTTPS trafiğini geçici olarak devre dışı bırakmalarını ve sabit sürümlerden birine yükseltmelerini tavsiye etti:
- MOVEit Aktarımı 2023.0.1
- MOVEit Aktarımı 2022.1.5
- MOVEit Aktarımı 2022.0.4
- MOVEit Aktarımı 2021.1.4
- MOVEit Aktarımı 2021.0.6
Ayrıca müşterilere, tüm MOVEit Transfer örneklerinde c:\MOVEit Transfer\wwwroot\ klasöründe beklenmeyen dosyaların oluşturulup oluşturulmadığını ve beklenmeyen veya büyük dosya indirme işlemlerinin gerçekleştirilip gerçekleştirilmediğini kontrol etmelerini tavsiye ettiler.
Gerçek saldırılar hakkında daha güncel bilgilere sahip olduğu anlaşılan Beaumont, bulut sunucularını çalıştıran kuruluşlara bunların iç ağlarıyla bağlantılarını kesmelerini, yeni oluşturulmuş veya değiştirilmiş .asp dosyalarını kontrol etmelerini ve tüm IIS günlüklerinin bir kopyasını kaydetmelerini ve ağ veri hacmi günlükleri.
“Web kabukları düşüyor,” diye paylaştı.
Reddit’teki bir yorumcu, işverenlerinin Anma Günü hafta sonundan etkilendiğini ve MoveIt sitelerinden bir ton dosyanın kopyalandığını ve diğerlerinin savunuculara aramaları gereken belirli uzlaşma göstergeleri konusunda tavsiyelerde bulunduğunu söylüyor.
Progress Software, şirketin güvenlik açığını keşfettiğini söylese de, görünüşe göre bunu ancak aktif olarak istismar edildiğini tespit ettikten sonra keşfettiler, bu da onu sıfır gün kusuru yapıyor.
Bu onaylanırsa, bu yıl saldırganlar tarafından istismar edilen kurumsal yönetilen bir dosya aktarım aracındaki sıfır günün ikinci örneği olacak – ilki, Fortra’nın GoAnywhere çözümünde uzaktan kod yürütme güvenlik açığı olan CVE-2023-0669 idi. Cl0p ransomware çetesi tarafından.