Citrix ShareFile, kimliği doğrulanmamış saldırganlar tarafından uzaktan kullanılabilir.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismar kanıtlarına dayanarak, bilinen istismar edilen güvenlik açıkları kataloğuna bir güvenlik açığı ekledi. Bu, Federal Sivil Yürütme Şubesi (FCEB) kurumlarının ağlarını bu aktif tehdide karşı korumak için 6 Eylül 2023’e kadar bu güvenlik açığını gidermesi gerektiği anlamına gelir. Herkesi de ciddiye almaya ve tercihen son ana kadar beklememeye davet ediyoruz.
Citrix güvenlik danışma belgesine göre bu güvenlik açığı, 5.11.24 sürümünden önceki müşteri tarafından yönetilen ShareFile depolama bölgeleri denetleyicisinin şu anda desteklenen tüm sürümlerini etkilemektedir. Bulutta ShareFile tarafından yönetilen depolama alanlarını kullanan müşterilerin herhangi bir işlem yapmasına gerek yoktur.
Citrix müşterileri, ShareFile depolama bölgeleri denetleyicisinin en son sürümüne güncelleme yapmalı ve yükseltme talimatlarını okumalıdır. Ekstra bir önlem olarak Citrix, en son sürümden (5.11.24) önceki tüm müşteri tarafından yönetilen ShareFile depolama bölgeleri denetleyici sürümlerini engellemiştir. 5.11.24 güncellemesi uygulandıktan sonra müşteriler, depolama bölgeleri denetleyicisini yeniden etkinleştirebilecektir.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanmış bilgisayar güvenlik açıklarını listeler. Eldeki güvenlik açığı CVE-2023-24489 olarak listeleniyor ve 10 üzerinden 9,1 CVSS puanına sahip. Citrix ShareFile’ın Internet Information Services (IIS) altında çalışan bir .NET web uygulaması olan Storage Zones Controller’daki bir şifreleme hatasıdır. Saldırganlar, ShareFile’ın kriptografik işlemleri işleme biçimindeki hatalar nedeniyle, kimliği doğrulanmamış saldırganların rasgele dosyalar yüklemesine olanak tanıyan ve uzaktan kod yürütmeye (RCE) yol açan geçerli bir doldurma oluşturabilir.
Güvenlik açığının Temmuz ayında keşfedilmesinden bu yana birkaç Kavram Kanıtı (PoC) kullanıma sunuldu.
Bu yıl, Cl0p fidye yazılımı çetesi, dosya aktarım yazılımındaki güvenlik açıklarından kapsamlı bir şekilde yararlandı. Mart ayında, GoAnywhere MFT’deki sıfır gün güvenlik açığından yararlanarak dünyanın en aktif çetesi haline gelmek için atıl durumdan çıktı. Birkaç ay sessiz kaldıktan sonra, bir MOVEit Transfer sıfır gün güvenlik açığından yaygın olarak yararlandığı netleşince Haziran ve Temmuz aylarında hileyi tekrarladı.
Görünüşe göre Cl0p tam olarak bu tür bir güvenlik açığı ararken, bunun mümkün olan en kısa sürede yamalanması gerektiği hiç akıllıca olmamalıdır.
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; ve RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya bulaşmadan erken durdurun. Fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları engelleyebilen uç nokta güvenlik yazılımını kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden fazla farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.
Güvenlik açıklarını yalnızca rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.