Birden fazla kuruluş, fidye yazılımı operatörleri de dahil olmak üzere geniş çapta istismar edilen Progress Software’in MOVEit dosya aktarım ürünündeki yakın zamanda açıklanan bir güvenlik açığından kaynaklanan siber saldırılardan etkilendiklerini açıklamak için öne çıkıyor.
Son 24 saat içinde BBC, Boots ve British Airways (BA) dahil olmak üzere kuruluşların tümü etkilendiklerini doğruladı ve BBC personeline olayda kimlik numaralarının, doğum tarihlerinin, ev adreslerinin ve Ulusal Sigorta numaralarının ele geçirildiğini söyledi. . BA personeline ayrıca banka bilgilerinin çalınmış olabileceği söylendi.
BA ve diğerlerinin durumunda olay, bordro ve insan kaynakları departmanları için BT hizmetleri tedarikçisi olan Zellis’in sistemleri aracılığıyla başladı. Bir Zellis sözcüsü, “az sayıda” kuruluşun müşterisinin etkilendiğini doğruladı.
Sözcü, “Zellis’e ait hiçbir yazılım etkilenmedi ve BT varlığımızın başka herhangi bir bölümünde bununla ilgili herhangi bir olay veya güvenlik açığı yok” dedi.
“Bu olayın farkına varır varmaz hemen harekete geçtik, MOVEit yazılımını kullanan sunucunun bağlantısını kestik ve adli tıp analizine ve devam eden izlemeye yardımcı olması için uzman bir harici güvenlik olay müdahale ekibini görevlendirdik” diye eklediler.
Zellis, Bilgi Komisyonu Ofisi (ICO) ve İrlanda Veri Koruma Komisyonu (DPC) dahil olmak üzere hem İngiltere hem de İrlanda’daki ilgili makamları bilgilendirdiğini söyledi.
Bir BA sözcüsü şunları söyledi: “Zellis’in MOVEit adlı üçüncü taraf tedarikçilerinden biri aracılığıyla meydana gelen siber güvenlik olayından etkilenen şirketlerden biri olduğumuz konusunda bilgilendirildik. Zellis, Birleşik Krallık’ta biri bizim de olduğumuz yüzlerce şirkete bordro destek hizmetleri sunmaktadır.
“Bu olay, yaygın olarak kullanılan MOVEit dosya aktarım aracındaki yeni ve önceden bilinmeyen bir güvenlik açığı nedeniyle meydana geldi. Destek ve tavsiye sağlamak için kişisel bilgileri açığa çıkan meslektaşlarımızı bilgilendirdik.”
BA’nın ebeveyni IAG’nin etkilenebilecek kişilere destek olmak için çalıştığı anlaşılmaktadır ve ayrıca olayı kendi isteğiyle ICO’ya bildirmiştir.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) sözcüsü, teşkilatın durumu yakından izlediğini söyledi.
“MOVEit Transfer yazılımının istismar edilmesini etkileyen kritik bir güvenlik açığına ilişkin raporların ardından İngiltere’deki etkisini tam olarak anlamak için çalışıyoruz” dediler. “NCSC, kuruluşları satıcının en iyi uygulama tavsiyelerini takip ederek ve önerilen güvenlik güncellemelerini uygulayarak derhal harekete geçmeye teşvik ediyor.”
MOVEit nedir?
MOVEit yönetilen dosya aktarımı (MFT) yazılım ürünü ilk olarak 2000’li yılların başında Standard Networks adlı bir şirket tarafından geliştirildi ve piyasaya sürüldü. Bu firma daha sonra, kendisi de 2019’da Progress tarafından satın alınan ağ yazılımı uzmanı Ipswitch tarafından satın alındı.
31 Mayıs 2023 Çarşamba günü Progress, MOVEit’te MOVEit aktarım ürününün tüm kullanıcılarını etkileyen kritik bir güvenlik açığı keşfettiğini ve yamaladığını duyurdu.
CVE-2023-34362 olarak izlenen hata, kimliği doğrulanmamış bir aktörün, veritabanı motoru olarak MySQL, Microsoft SQL Server veya Azure SQL kullanıp kullanmadığına bağlı olarak kullanıcının MOVEit Transfer veritabanına erişmesini sağlayabilecek bir SQL enjeksiyon güvenlik açığıdır. – veritabanının içeriği hakkında bilgi edinin ve veritabanının öğelerini değiştiren veya silen SQL deyimlerini yürütün.
Microsoft, Mandiant ve Rapid7 dahil olmak üzere çok sayıda güvenlik firması geçen hafta CVE-2023-34362’nin istismarını izliyor.
Microsoft, güvenlik açığından yararlanan saldırıları ilişkilendirmeye hazır olduğunu söyledi şimdi Lace Tempest olarak izlediği bir tehdit aktörüneen iyi Clop (aka Cl0p) işlemini çalıştırmasıyla tanınan bir fidye yazılımı operatörü.
Cl0p, özellikle öldürücü bir fidye yazılımı türüdür ve operatörlerinin, özellikle etkilenen dosya aktarım süreçlerine taraf oldukları yaygın olarak bilinir. Bu yılın başlarında, aralarında depolama ve güvenlik firması Rubrik’in de bulunduğu 90’dan fazla kurbanın sistemlerine saldırmak için Fortra GoAnywhere MFT aracındaki bir güvenlik açığından yararlanan bir dizi saldırının arkasında onlar vardı.
Mandiant ayrıca Clop ile ilişkili en az bir aktörün SQL enjeksiyon güvenlik açıkları üzerinde çalışmak için ortak aradığını gözlemlediğini, ancak MOVEit güvenlik açığı ile fidye yazılımı çetesi ile ilişkili etkinlik arasında bir bağlantı belirlemek için yeterli kanıta sahip olmadığını söyledi. Analistleri, önümüzdeki haftalarda daha fazla kurbanın fidye talepleri almaya başlamasını beklediklerini söylediler.
Rapid7, CVE-2023-34362’den yararlanırken gözlemlediği davranışın hedefli olmaktan çok çoğunlukla fırsatçı olduğunu söyledi.
Analistleri şunları söyledi: “Gördüğümüz eserlerin tekdüzeliği, makul bir şekilde, açık hedeflere ayrım gözetmeksizin bir açıktan yararlanan tek bir tehdit aktörünün işi olabilir.”
İhlal varsayalım
Darktrace tehdit analizi başkanı Toby Lewis, CVE-2023-34362’nin fidye yazılımını doğrudan dağıtmak için yeterli erişim sağlamadığını ve bir saldırganın kurbanın ağı üzerinden yanal olarak hareket etmesine izin vermediğini, ancak yine de bunun mümkün olduğunu söyledi. Clop gibi bir işleç için kullanın.
“Hassas materyaller MOVEit aracılığıyla aktarılıyorsa, bu istismar işletmeleri çalınan verilerin yayınlanması tehdidiyle haraç almaya maruz bırakabilir” dedi.
“Zellis, MOVEit’in yalnızca bir müşterisi ve muhtemelen etkilenen ve henüz açıklanmayan başka kuruluşlar da olacak. Zellis muhtemelen fırsatçı tarama ve sömürünün kurbanı olacak; bu, yalnızca geçen hafta kamuya açıklanmış olmasına rağmen, birkaç hafta boyunca gerçekleşmiş olabilir. Bu olay, MOVEit platformunun müşterilerinden veri hırsızlığıyla sınırlı görünüyor” dedi.
ReliaQuest CISO’su Rick Holland, olayın henüz başlangıç aşamasında olduğunu ve etkisinin biraz zaman alacağını söyledi.
Holland, Computer Weekly’ye e-postayla gönderilen yorumlarda, “Mevcut bu kampanyadaki kurbanların sayısı henüz görülmedi, ancak savunmasız MOVEit çözümlerini internete ifşa eden herhangi bir kuruluş ihlali varsaymalıdır” dedi.
“Diğer güvenlik açıklarında gördüğümüz gibi, güvenlik açığı herkes tarafından bilindiğinde bir beslenme çılgınlığı yaşanıyor; Clop MOVEit’ten ödün vermeseydi, diğer tehdit aktörleri bunu yapabilirdi. Fidye notu almayan kuruluşlar, açıkta olduklarını varsaymamalıdır.
“Tehdit grubu muhtemelen o kadar çok kuruluşun güvenliğini ihlal etti ki, kurban kuyruğunu aşmaları zaman alabilir” diye ekledi.