Progress Software, web uygulamasında bir aydan kısa bir süre içinde keşfedilen üçüncü bir SQL enjeksiyon güvenlik açığını (CVE-2023-35708) düzeltmek için müşterilerin MOVEit Transfer kurulumlarını tekrar güncellemelerini istedi.
Daha önce Cl0p siber şantaj çetesi, kurumsal verileri ele geçirmek için CVE-2023-34362’den yararlanıyordu ve Huntress araştırmacıları, web uygulamasının kod incelemesini gerçekleştirmek için Progress ile iş birliği yaptıktan sonra CVE-2023-35036’yı keşfetti.
CVE-2023-35708 hakkında
CVE-2023-35708, artırılmış ayrıcalıklara ve yetkisiz erişime yol açabilecek bir güvenlik açığıdır.
Şirket Perşembe günü yaptığı açıklamada, “Bir saldırgan, MOVEit Transfer uygulaması uç noktasına hazırlanmış bir yük gönderebilir ve bu da MOVEit veritabanı içeriğinin değiştirilmesine ve ifşa edilmesine neden olabilir” dedi.
Güvenlik açığı MOVEit Transfer 2021.0.8 (13.0.8), 2021.1.6 (13.1.6), 2022.0.6 (14.0.6), 2022.1.7 (14.1.7) ve 2023.0.3 ( 15.0.3).
Kusurun kamuya açıklanması olmuş Progress bir düzeltme bulmadan önce.
“15 Haziran’da bildirilen güvenlik açığının olduğuna dair herhangi bir kanıt görmedik. [i.e., CVE-2023-35708] istismar edildi, ”dedi şirket Pazar günü.
“MOVEit Cloud’u bakım için çevrimdışına almak, müşterilerimizi korumaya yönelik bir savunma önlemiydi ve herhangi bir kötü niyetli etkinliğe yanıt olarak alınmadı. 15 Haziran’da bildirdiğimiz yeni güvenlik açığı çevrimiçi olarak herkese açık olarak yayınlandığından, güvenlik açığını hızlı bir şekilde yamalamak ve MOVEit Cloud’u devre dışı bırakmak için çok fazla dikkat göstererek derhal harekete geçmemiz önemliydi.”
Cl0p kurbanları ortaya koyuyor
Bu arada Cl0p, CVE-2023-34362’yi kullanarak verilerini ele geçirdikleri kuruluşların adlarını açıklamaya başladı.
Liste çok uluslu petrol ve gaz şirketini içeriyor Shell, çeşitli bankalar, medya şirketleri, üniversiteler, ABD Enerji Bakanlığı’nın iki kuruluşu (Oak Ridge İlişkili Üniversiteler ve Oak Ridge Ulusal Laboratuvarı’nda bir yüklenici), Oregon Ulaştırma Bakanlığı ve çok daha fazlası.
“CLOP, hükümet verilerinin silineceğini ve saklanmayacağını veya paylaşılmayacağını belirtti. WithSecure Tehdit İstihbaratı Başkanı Tim West, “Bu, neredeyse kesinlikle ‘ayıyı dürtmemek’ ve yetkili makamları harekete geçmeye davet eden bir çizginin altına düşmemek için bir çabadır, ancak tek başına sözlerinin pek fazla hardalı kesmesi pek olası değildir,” dedi.
ABD Dışişleri Bakanlığı, Adalet İçin Ödül programı aracılığıyla Teklif etti “CL0P Fidye Yazılımı Çetesi veya ABD’nin kritik altyapısını hedef alan diğer kötü niyetli siber aktörleri yabancı bir hükümete bağlayan bilgilere sahip olan” kişiler için önemli bir parasal ödül.