3. Parti Risk Yönetimi, Kritik Altyapı Güvenliği, Siber Suçlar
Siber Güvenlik Yetkilileri Ciddi Kusurların Düzeltilmesi İçin Derhal Yama Uygulamasını Öneriyor
Mathew J. Schwartz (euroinfosec) •
2 Ekim 2023
Aktif saldırıların ortasında, yaygın olarak kullanılan FTP yazılımlarını derhal güncellemeleri için hükümet ve eğitim kuruluşları da dahil olmak üzere büyük kuruluşlara uyarılar yapılıyor.
Ayrıca bakınız: İsteğe Bağlı | Google Cloud ile Güvenli Başlayın ve Güvende Kalın
Progress Software tarafından oluşturulan WS_FTP Server’ın birçok sürümünde yararlanılabilir birden fazla kusur mevcuttur. En ciddi sorunlardan biri “8.7.4 ve 8.8.2’den önceki WS_FTP Sunucusu sürümlerinde” mevcuttur; bunun için “Ad Hoc Transfer modülü, kimliği doğrulanmamış bir saldırganın sunucuda uzaktan komutlar yürütmesine izin veren bir .NET seri durumdan çıkarma güvenlik açığına karşı savunmasızdır.” güvenlik firması Rapid7, “WS_FTP Sunucu işletim sisteminin temelini oluşturuyor” dedi. “Güvenlik açığı, WS_FTP Sunucusu Ad Hoc modülünün tüm sürümlerini etkiliyor.”
Progress Software, yazılımın 8.7.4 ve 8.8.2 sürümlerini yayınlayarak sekiz kusuru yamaladı ve tüm kullanıcıların mümkünse ikinci sürüme güncelleme yapmasını önerdi. Burlington, Massachusetts merkezli satıcı Çarşamba günkü güvenlik uyarısında “Tam yükleyiciyi kullanarak yamalı bir sürüme yükseltme yapmak bu sorunu çözmenin tek yoludur” dedi. “Yükseltme çalışırken sistemde bir kesinti olacak.”
Güncellemeler, .NET seri durumdan çıkarma güvenlik açığına yönelik CVE-2023-40044 olarak adlandırılan ve saldırganların uzaktan isteğe bağlı kod çalıştırabileceği bir düzeltme eki içeriyor. Progress Software, bu kusurun keşfini Avustralya siber güvenlik firması AssetNote’tan güvenlik araştırmacıları Shubham Shah ve Sean Yeoh’a borçludur.
AssetNote Cumartesi günkü bir blog yazısında, “İnternette WS_FTP çalıştıran yaklaşık 2.900 ana bilgisayarın bulunduğunu ve ayrıca web sunucularının açığa çıktığını gördük, bu da istismar için gerekli.” dedi. “Bu çevrimiçi varlıkların çoğu büyük işletmelere, hükümetlere ve eğitim kurumlarına aittir.”
Rapid7 güvenlik açığı araştırması başkanı Caitlin Condon, Information Security Media Group’a verdiği demeçte, .NET seri durumdan çıkarma kusuru – CVE-2023-40044 – “önemsiz bir şekilde istismar edilebilir ve kimliği doğrulanmamış bir saldırganın hedef sistemde uzaktan kod yürütmesine olanak tanır” dedi.
AssetNote, “Güvenlik açığının herhangi bir kimlik doğrulama olmadan tetiklenebileceğini ve WS_FTP’nin tüm Ad Hoc Transfer bileşenini etkilediğini keşfettik” dedi. “Herhangi bir kimlik doğrulama olmadan seri durumdan çıkarma havuzuna ulaşabilmemiz biraz şok ediciydi”, bu da keyfi kod kullanımına izin veriyordu.
Rapid7, CVE-2023-40044’ten yararlanmaya yönelik kavram kanıt kodunun Cuma günü halka açıklandığını söyledi. Cumartesi günü firma, “birden fazla müşteri ortamında yakın zamanda açıklanan bir veya daha fazla WS_FTP güvenlik açığından yararlanıldığı anlaşılan durumu” gördüğünü bildirdi. Pazar gününden bu yana, bir veya daha fazla WS_FTP güvenlik açığını hedef alan ikinci bir kampanyayı izliyor ve kusurların “toplu istismarına” yönelik girişimlerin çoktan başlamış olabileceğini bildiriyor.
ABD Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi veya HC3, Cuma günü yayınlanan bir uyarıda, “herhangi bir hasarın oluşmasını önlemek için tüm kullanıcıları üreticinin tavsiyelerine uymaya ve mevcut en yüksek sürüm olan 8.8.2’ye yükseltmeye güçlü bir şekilde teşvik ettiğini” söyledi.
Rapid7’den Condon, “WS_FTP Sunucusunda Geçici Aktarım modülünü kullanıyorsanız ve sabit bir sürüme güncelleme yapamıyorsanız, modülü devre dışı bırakmayı veya kaldırmayı düşünün” dedi. Firması ayrıca Velociraptor açık kaynak güvenlik izleme yazılımı aracının kütüphanesini, kullanıcıların Microsoft Internet Information Services sunucu günlüklerini istismar işaretleri açısından incelemesine olanak tanıyan bir adli yapıyla güncelledi.
Geçici Aktarım modülünün devre dışı bırakılması, WS_FTP Sunucusunun en son sürümleri aracılığıyla yamalanan diğer yedi güvenlik açığını hafifletmeyecektir. Bir diğer kritik kusur ise dizin geçiş güvenlik açığı olan CVE-2023-4265’tir. HC3, “Başarılı bir şekilde yararlanılırsa, bir saldırgan, yetkili WS_FTP yolunun dışındaki dosya ve klasörlerde dosya işlemlerini (silme, yeniden adlandırma, rmdir, mkdir) gerçekleştirmek için bundan yararlanabilir” dedi. “Ayrıca saldırgan WS_FTP sunucu dosya yapısından kaçabilir ve aynı işlemleri işletim sisteminde gerçekleştirebilir.”
Hedef: Güvenli Dosya Aktarım Yazılımı
Dosyaları güvenli bir şekilde aktarmak için kullanılan yazılım, şantajcıların en büyük hedefi olmaya devam ediyor. AssetNote, bu tür saldırıların ışığında bir müşterinin saldırı yüzeyini proaktif olarak inceledikten sonra WS_FTP’deki güvenlik açıklarını bulduğunu söyledi.
Özellikle Clop – diğer adıyla Cl0p – fidye yazılımı grubu, 2021’de Accellion’un eski Dosya Aktarım Cihazı yazılımından başlayarak, yaygın olarak kullanılan dosya aktarım yazılımlarındaki güvenlik açıklarını bulmaya ve bunlardan yararlanmaya devam ediyor (bkz: Accellion 8,1 Milyon Dolarlık İhlal Uzlaşmasını Kabul Etti).
O zamandan bu yana Clop, SolarWinds Serv-U’yu, Fortra’nın GoAnywhere MFT’sini ve yakın zamanda WS_FTP geliştiricisi Progress Software tarafından yapılan MOVEit’i hedef alan benzer kampanyalar başlattı (bkz.: Veri İhlali Ücreti Clop Grubunun MOVEit Saldırı Artışına Bağlı).
Bu yılın başlarında AssetNote’tan Dylan Pindur, Citrix Content Collaboration olarak da bilinen bulut tabanlı güvenli dosya paylaşımı ve aktarım hizmetleri olan Citrix ShareFile’da kritik bir güvenlik açığını satıcıya bildirdi. Bleeping Computer’ın bildirdiğine göre Citrix, mayıs ayında bu kusur için bir düzeltme eki (CVE-2023-24489) yayınladı ve başlangıçta yalnızca müşteriye özel bir portal kullanarak erişimi kısıtladı. Bleeping Computer’ın bildirdiğine göre, kullanıcıların %83’ü satıcının Haziran ayında halka açıklanmasından önce yazılımlarını güncelledi.
Ağustos ayına gelindiğinde ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, Citrix ShareFile güvenlik açığının saldırganlar tarafından aktif olarak kullanıldığı konusunda uyardı.
Güvenlik uzmanları, güvenli dosya aktarım araçlarını kullanan tüm kuruluşları, bu tür yazılımların nasıl kilitlenebileceğini belirlemek için belgelerini gözden geçirmeleri konusunda uyardı. Finansal hizmetler sektörünün bilgi paylaşım merkezi olan FS-ISAC’ın istihbarat şefi Teresa Walsh, verileri şifrelemek, güçlü erişim kontrolleri kullanmak ve dosyaları bu tür sistemlerde mümkün olduğunca kısa bir süre bırakmak, kuruluşların izlemesi gereken siber hijyen uygulamalarından sadece birkaçı olduğunu söylüyor ve analiz merkezi, yakın zamanda ISMG’ye söyledi (bkz: Clop’un MOVEit Tedarik Zinciri Saldırılarından Alınacak Dersler).