Yakın zamanda saldırıya uğrayan MOVEit dosya paylaşım aracının arkasındaki şirket olan Progress Software, yakın zamanda bir başka popüler güvenli dosya aktarım çözümü olan WS_FTP Sunucusundaki iki kritik güvenlik açığını (CVE-2023-40044, CVE-2023-42657) düzeltti.
CVE-2023-40044’ün kavram kanıt kodu Cuma gününden bu yana mevcut ve Rapid7 araştırmacıları, iki farklı saldırı zinciriyle birden fazla WS_FTP istismarı örneğini gözlemledi.
Yararlanılan güvenlik açığı (CVE-2023-40044) ve güncelleme
CVE-2023-40044, kimliği doğrulanmamış bir tehdit aktörünün temeldeki WS_FTP Sunucusu işletim sistemi üzerinde uzak komutlar yürütmesine olanak tanıyan ve bir HTTPS POST isteği yoluyla yararlanılabilen bir .NET seri durumdan çıkarma güvenlik açığıdır.
CVE-2023-42657, bir tehdit aktörünün yetkili WS_FTP klasör yolu dışındaki dosya ve klasörler üzerinde dosya işlemleri (silme, yeniden adlandırma, rmdir, mkdir) gerçekleştirmesine olanak tanıyan bir dizin geçiş güvenlik açığıdır.
Her iki güvenlik açığı da 8.7.4 ve 8.8.2’den önceki sürümleri etkilemektedir ve sabit sürümlere yükseltme yapılması önemle tavsiye edilir.
“Tam yükleyiciyi kullanarak yamalı bir sürüme yükseltme yapmak bu sorunu çözmenin tek yoludur. Yükseltme çalışırken sistemde bir kesinti yaşanacak,” diye ekledi Progress. Güncelleme mümkün değilse, WS_FTP Sunucusu Geçici Aktarım Modülü kaldırılarak veya devre dışı bırakılarak kötüye kullanım riski azaltılabilir.
“[CVE-2023-40044] nispeten basit olduğu ve RCE’ye yol açan tipik bir .NET seri durumdan çıkarma sorununu temsil ettiği ortaya çıktı. Satıcının WS_FTP’nin çoğu sürümünün savunmasız olduğunu belirtmesiyle bu hatanın bu kadar uzun süre hayatta kalması şaşırtıcı,” diye açıkladı güvenlik açığını keşfeden ve bildiren Assetnote araştırmacıları.
“WS_FTP analizimizden, internette WS_FTP çalıştıran (ve ayrıca istismar için gerekli olan web sunucularının açıkta olduğu) yaklaşık 2,9 bin ana bilgisayarın bulunduğunu tespit ettik. Bu çevrimiçi varlıkların çoğu büyük işletmelere, hükümetlere ve eğitim kurumlarına aittir.”
Rapid7, kurumsal savunucuların kuruluşlarının etkilenip etkilenmediğini belirlemek için arayabilecekleri uzlaşma göstergelerini paylaştı.
Bu en son WS_FTP Sunucusu güncellemesiyle Progress, altı adet yüksek ve orta önemdeki güvenlik açığını daha düzeltti.
Bunlar arasında ayrıca, kurbanın tarayıcısı bağlamında kötü amaçlı JavaScript yürütmek üzere özel bir yüke sahip WS_FTP Sunucusu kullanıcılarını hedeflemek için kullanılabilecek, Geçici Aktarım modülünde yansıtılan bir siteler arası komut dosyası çalıştırma güvenlik açığı (CVE-2023-40045) bulunmaktadır.
Dosya aktarım araçları fidye yazılımı çeteleri için popüler bir hedeftir
Cl0p çetesinin MOVEit hackinden etkilenen kuruluşların sayısı 2000’i, bireysel kurbanların sayısı ise 60 milyonu aştı.
Cl0p daha önce hedeflerden veri çalmak için Accellion’un FTA ve Fortra’nın GoAnywhere dosya aktarım ürünlerindeki güvenlik açıklarından yararlanmıştı.