.jpg)
IBM’in popüler Aspera Faspex dosya aktarım yığınında rastgele kod yürütülmesine izin veren kritik bir hata, kuruluşlar yama uygulayamadığı için fidye yazılımı çeteleri de dahil olmak üzere artan sayıda siber suçlunun dikkatini çekiyor.
IBM’in kritik güvenlik açığı için bir yama yayınlamasından aylar sonra, Rapid7 araştırmacıları bu hafta, müşterilerinden birinin CVE-2022-47986 olarak izlenen bir hata tarafından ele geçirildiğini belirterek, bu açığın vahşi ortamda istismar edildiğini vurguladı. Araştırmacılar, acil eyleme ihtiyaç olduğunu söyledi.
Rapid7’de güvenlik araştırması üst düzey yöneticisi Caitlin Condon, bir blog gönderisinde “Tipik bir yama döngüsünün oluşmasını beklemeden acil durumlarda yama yapılmasını şiddetle tavsiye ediyoruz.”
9.8 CVSS IBM Güvenlik Açığı Örtüsünün Altında
IBM Aspera Faspex, kuruluşların dosyaları sıradan TCP tabanlı bağlantılar üzerinden elde edilenden daha yüksek hızlarda aktarmasına olanak sağlamak için Hızlı Uyarlanabilir ve Güvenli Protokolü (FASP) kullanan bulut tabanlı bir dosya alışverişi uygulamasıdır. Enlyft’e göre Aspera hizmeti Red Hat ve California Üniversitesi gibi büyük kuruluşlar tarafından kullanılıyor ve o kadar övülüyor ki kelimenin tam anlamıyla bir Emmy kazandı.
Güvenlik açığı, Faspex’in 4.4.2 Yama Düzeyi 1 sürümünde mevcuttur ve CVSS güvenlik açığı-önem ölçeğinde 10 üzerinden 9,8’dir.
IBM, 26 Ocak’ta yayınlanan bir güvenlik bülteninde, “Özel olarak hazırlanmış eski bir API çağrısı göndererek”, bir saldırganın kendi kodunu Faspex çalıştıran herhangi bir hedef sisteme uzaktan dağıtabileceğini açıkladı.
Hata ilk olarak 6 Ekim 2022’de IBM’e bildirildi ve 8 Aralık’ta 4.4.2 Yama Düzeyi 2’de düzeltildi.
Sömürü faaliyeti, yamanın bu yılın başlarında yayınlanmasından kısa bir süre sonra, IceFire fidye yazılımı grubunun Windows’u hedeflemekten Linux sistemlerine geçmesiyle başladı. Bunu yaparken teknik bir sorunla karşılaştı: Windows her yerde ama Linux çoğunlukla sunucularda çalışıyor. Bu nedenle, o ortam için yeni bir izinsiz giriş yöntemine geçtiler: CVE-2022-47986’dan yararlanma.
O zamandan beri, diğer siber suçlu grupları bu kolay ama güçlü güvenlik açığına saldırdı. Şubat ayında kimliği belirsiz bir tehdit aktörü bunu şu amaçlarla kullandı: Buhti fidye yazılımını dağıtınsonra Gölge sunucusu Vakfı canlı denemelerde yakalandı.
Neden Herkes Yama Yapamıyor?
Condon’a göre, hayatta nadiren ciddi sorunların anında çareleri vardır, ancak CVE-2022-47986, Yama Seviye 2’ye veya 20 Mart’ta yayınlanan en yeni Yama Seviye 3’e basit bir yükseltme ile tamamen uygundur. Neden sadece birkaç tık ötede bu kadar basit bir çözüm varken herhangi bir kuruluş hala savunmasız durumda?
İhmal birçok durumda cevap olabilir. Condon, Dark Reading’e “İnsanların tutarlı ve düzenli yama döngüleri olması gerekmez” diyor. “Aylar ve bazen yıllar sonra hala internete maruz kalan savunmasız yazılım ve cihazlar görüyoruz.” Gerçekten de, geçen ay itibariyle, Web’de yaklaşık 140 Aspera Faspex örneği ortaya çıktığını belirtti.
Ancak bazı durumlarda Condon, “Bunu düzeltmenin zor olması beni şaşırtmaz” diyor. “Analizlerimizin çoğu, yalnızca yazılımı kurmaya ve çalıştırmaya çalışmakla ilgiliydi. Dolayısıyla, ister karmaşık bir yığın, ister yalnızca kurduğunuz zaman titiz olan bir yazılım olsun, bu aynı zamanda yama yapmanın zor olduğu anlamına da gelebilir.”
Halihazırda yama yapmamış olan ve bunu hemen yapamayan şirketlerin kendilerini korumak için sınırlı seçenekleri kalıyor. Condon, “Birkaç savunma katmanı koymak çok yardımcı olacaktır” diyor ve Aspera Faspex’i çevrimdışı duruma getirmek kesinlikle çok önemli.
Nihayetinde, kesin olan tek düzeltme, ya yama yapmak ya da yazılımı tamamen terk etmek, diye ekliyor.
“‘Hey, yama yapamıyorsanız kapatın’ dediğimizde bunun herkes için pratik olmadığının farkındayız,” diye açıklıyor. “Yani en azından onu halka açık internetten kaldırın ve aklınıza gelebilecek diğer kontrolleri yerine koyun.”