ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), şaşırtıcı bir hamleyle, geçen yıl milyonlarca kişinin verilerini ifşa eden MOVEit yazılım tedarik zinciri saldırısıyla ilgili olarak Progress Software’e dava açmama kararı aldı.
Cl0p fidye yazılımı grubu tarafından gerçekleştirilen saldırı, MOVEit Transfer yönetilen dosya transferi (MFT) ürünündeki sıfır günlük bir güvenlik açığını istismar etti. CVE-2023-34362 olarak bilinen bu kusur, saldırganların yetkisiz erişim elde etmesine ve dünya çapında çok çeşitli kuruluşlardan hassas verileri çalmasına olanak sağladı.
6 Ağustos tarihli Form 8-K dosyasına göre, SEC’nin Uygulama Birimi, Progress Software’in olayla ilgili tutumuna ilişkin soruşturmasını tamamladı ve herhangi bir uygulama eylemi önermemeye karar verdi.
Üst Düzey Hedefler ve Mağdurların Ölçeği
MOVEit güvenlik açığından 2.000’den fazla kuruluş ve 62 milyondan fazla kişi etkilendi ve kurbanların çoğunluğu Amerika Birleşik Devletleri’ndendi. Üst düzey kurbanlar arasında BBC, Shell, Radisson Hotels Americas ve Johns Hopkins Üniversitesi yer alıyor.
Eğitim sektörü özellikle sert bir darbe aldı, etkilenen kuruluşların yaklaşık %10’u eğitim kurumlarıydı ve bunların arasında dünyanın en iyi üniversitelerinden bazıları da vardı. Tehdit aktörleri genellikle bu kurumlarda bulunan kişisel olarak tanımlanabilir bilgiler, finansal kayıtlar ve fikri mülkiyet gibi değerli veri zenginliğine çekilir.
CVE-2023-34362 güvenlik açığı, kimliği doğrulanmamış kullanıcıların MOVEit Transfer veritabanına erişmesine, kod yürütmesine ve veritabanı öğelerini değiştirmesine veya silmesine izin verdi. Saldırı, saldırganların MOVEit hizmetlerini kullanan istemcilerin verilerine erişim elde etmesiyle, sosyal mühendislik ve güvenlik açığının istismarının bir kombinasyonu kullanılarak gerçekleştirildi.
SEC, Progress Yazılımını Daha Fazla Araştırmamaya Karar Verdi
ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), 2023 MOVEit yazılım tedarik zinciri saldırısı nedeniyle Progress Software’e dava açmamaya karar verdi. Form 8-K dosyasında şunları belirtti:
6 Ağustos 2024’te Menkul Kıymetler ve Borsa Komisyonu’nun Uygulama Dairesi (“SEC”), Progress Software Corporation’a (“Şirket”) SEC’in Şirket hakkındaki soruşturmasını tamamladığını ve şu anda Şirkete karşı bir uygulama eylemi önermeyi düşünmediğini bildirdi (“Fesih Mektubu”). Daha önce açıklandığı gibi, Şirket, MOVEit güvenlik açığıyla ilgili çeşitli belgeler ve bilgiler talep eden bir bilgi toplama soruşturmasının parçası olarak 2 Ekim 2023’te SEC’den bir celp aldı. Fesih Mektubu, Menkul Kıymetler Yasası Bülteni No. 5310’un son paragrafında belirtilen yönergeler uyarınca sağlandı.
Progress Software, bu yılın başlarında MOVEit Transfer çözümündeki hassas verilere yetkisiz erişime yol açabilecek yeni CVE-2024-5806 güvenlik açığının varlığına karşı uyarıda bulunmuştu.