Progress MOVEit Transfer’deki kritik bir güvenlik açığı, büyük miktarda veri çalmak için kullanılıyor
31 Mayıs 2023’te Progress Software, MOVEit Transfer’deki kritik bir güvenlik açığı hakkında bir güvenlik bülteni yayınladı.
Güvenlik bülteni şunları belirtir:
“MOVEit Transfer web uygulamasında, kimliği doğrulanmamış bir saldırganın MOVEit Transfer veritabanına yetkisiz erişim elde etmesine olanak verebilecek bir SQL enjeksiyon güvenlik açığı bulundu. Kullanılan veritabanı motoruna (MySQL, Microsoft SQL Server veya Azure SQL) bağlı olarak, bir saldırgan, veritabanı öğelerini değiştiren veya silen SQL deyimlerini yürütmenin yanı sıra veritabanının yapısı ve içeriği hakkında bilgi edinebilir.”
Bu, güvenlik açığının bir saldırganın yükseltilmiş ayrıcalıklar kazanmasına ve ortama yetkisiz erişim sağlamasına yol açabileceği anlamına gelir.
MOVEit Transfer, dosyaları şifreleyen ve verileri aktarmak için güvenli Dosya Aktarım Protokolleri kullanan, yaygın olarak kullanılan bir dosya aktarım yazılımıdır. Bu nedenle, sağlık sektöründe ve diğer birçok sektörde geniş bir kullanıcı tabanına sahiptir. Progress, MOVEit’i dünya çapında binlerce kuruluş tarafından dosya aktarım faaliyetleri üzerinde tam görünürlük ve kontrol sağlamak için kullanılan lider güvenli Yönetilen Dosya Aktarımı (MFT) yazılımı olarak tanıtıyor.
Size olası etki hakkında bir fikir vermesi için, açığa çıkan MOVEit Transfer bulut sunucuları için bir Shodan arama sorgusu, çoğu ABD’li müşterilere ait olan 2.500’den fazla sonuç verdi.
Birkaç araştırmacı, bu güvenlik açığından vahşi ortamda yararlanıldığını gözlemledi. BleepingComputer, siber suçluların kuruluşlardan büyük veri indirmeleri gerçekleştirmek için MOVEit MFT yazılımındaki sıfır günü kullandığına dair bilgilere sahip olduğunu söylüyor.
Sistemleri tehlikeye atmak için kullanılan yöntem, MOVEit kurulum dizininin wwwroot klasörüne bir web kabuğu bırakmaktır. Bu, saldırganın MOVEit içindeki tüm klasörlerin, dosyaların ve kullanıcıların bir listesini almasına, MOVEit içindeki herhangi bir dosyayı indirmesine ve içine bir yönetici arka kapı kullanıcısı eklemesine izin vererek, saldırganlara kimlik bilgilerini atlamasına izin vermek için aktif bir oturum verir.
Siber Güvenlik ve Altyapı Ajansı (CISA), kullanıcıları ve kuruluşları MOVEit Transfer Danışmanlığını gözden geçirmeye, hafifletme adımlarını izlemeye, gerekli güncellemeleri uygulamaya ve kötü amaçlı etkinlikleri avlamaya çağırıyor.
Birkaç araştırmacı, avı kolaylaştırmak için yöntemler sağladı. bulabildiklerim bunlar:
Not: Sigma kuralı, güvenlik operasyonları ekibinin ilgili günlük olaylarını esnek ve standartlaştırılmış bir biçimde tanımlamasını sağlayan genel ve açık YAML tabanlı bir imza biçimidir. YARA kuralları, belirli özellikleri arayan kurallar oluşturarak kötü amaçlı yazılımları (veya diğer dosyaları) tanımlamanın bir yoludur.
Azaltma
Tüm MOVEit Transfer sürümleri bu güvenlik açığından etkilenir. Desteklenen her sürüm için güvenlik yaması için aşağıdaki tabloya bakın.
Progress tarafından önerilen yöntem şudur:
1. Web trafiğini devre dışı bırakın
MOVEit Transfer ortamınıza giden tüm HTTP ve HTTP trafiğini devre dışı bırakın. Daha spesifik olarak, yama uygulanabilene kadar 80 ve 443 numaralı bağlantı noktalarında MOVEit Transfer’e giden HTTP ve HTTPs trafiğini reddetmek için güvenlik duvarı kurallarını değiştirin. HTTP ve HTTPS trafiği yeniden etkinleştirilene kadar şunlara dikkat etmek önemlidir:
- Kullanıcılar MOVEit Transfer web kullanıcı arayüzünde oturum açamaz
- Yerel MOVEit Transfer ana bilgisayarını kullanan MOVEit Otomasyon görevleri çalışmaz
- REST, Java ve .NET API’leri çalışmaz
- Outlook için MOVEit Transfer eklentisi çalışmaz
- SFTP ve FTP/s protokolleri normal şekilde çalışmaya devam edecek
- Yöneticiler, Windows makinesine erişmek için bir uzak masaüstü kullanarak ve ardından https://localhost/ adresine erişerek MOVEit Transfer’e erişmeye devam edebilecektir.
2. İncele, Sil ve Sıfırla
- Yetkisiz dosyaları ve kullanıcı hesaplarını silin
- human2.aspx ve .cmdline betik dosyalarının tüm örneklerini silin.
- MOVEit Transfer sunucusunda, C:\MOVEitTransfer\wwwroot\ dizininde oluşturulan yeni dosyaları ve C:\Windows\TEMP\ dizininde oluşturulan yeni dosyaları arayın.[random]\ dosya uzantılı dizin [.]komut satırı
- Bilinmeyen IP’lerden beklenmeyen dosya indirmeleri veya indirilen çok sayıda dosya için günlükleri inceleyin.
- Kimlik Bilgilerini Sıfırla
- Etkilenen sistemler ve MOVEit Hizmet Hesabı için hizmet hesabı kimlik bilgilerini sıfırlayın
3. Yamayı Uygulayın
Desteklenen tüm MOVEit Transfer sürümleri için yamalar aşağıda verilmiştir. Lütfen unutmayın, lisans dosyası yamayı uygulamak için aynı kalabilir.
4. Trafiği etkinleştirin, doğrulayın, izleyin
MOVEit Transfer ortamınıza giden tüm HTTP ve HTTP trafiğini etkinleştirin. Ardından, “İnceleme, Silme ve Sıfırlama” altındaki adımları tekrar uygulayarak dosyaların başarıyla silindiğini ve yetkisiz hesap kalmadığını onaylayın. Güvenlik ihlali belirtileri bulursanız, hizmet hesabı kimlik bilgilerini yeniden sıfırlamanız gerekir. IoC’ler (Uzlaşma Göstergeleri) için ağı, uç noktaları ve günlükleri izleyin.
Malwarebytes
Malwarebytes, savunmasız sistemleri aradığı tespit edilen beş kötü amaçlı IP adresine (138.197.152.201, 209.97.137.33, 5.252.191.0/24, 148.113.152.144, 89.39.105.108) giden trafiği engeller ve kötü amaçlı C:\MOVEitTransfer\wwwroot’u algılar. \human2.aspx olarak Exploit.Silock.MOVEit.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE