Sonrası MOVEit’te aktif olarak kullanılan sıfır gün güvenlik açığıBu yıl dosya aktarım hizmetlerini hedef alan bir dizi saldırının sonuncusu olan , potansiyel olarak binlerce müşteri için yaygın bir uzlaşmanın işaretlerini taşıyor.
Birden fazla siber güvenlik firması tarafından gözlemlenen bir dizi saldırı, sıfırıncı gün güvenlik açığının ortaya çıkmasından bu yana endişeleri artırdı ve siber yetkililerin, tehdit araştırmacılarının ve analistlerin dikkatini çekti. Progress Software tarafından ifşa edildi Çarşamba günü.
Pazartesi günü British Airways, Nova Scotia hükümeti ve diğerleri de dahil olmak üzere ilk kurban dalgası ortaya çıkmaya başladı.
Birleşik Krallık’ta MOVEit’teki sıfır gün güvenlik açığı nedeniyle tehlikeye giren yüzlerce şirkete hizmet veren bir maaş bordrosu sağlayıcısı olan Zellis’in birden fazla müşterisi etkilendi.
Bir British Airways sözcüsü yaptığı açıklamada, “Zellis’in MOVEit adlı üçüncü taraf tedarikçilerinden biri aracılığıyla meydana gelen siber güvenlik olayından etkilenen şirketlerden biri olduğumuz konusunda bilgilendirildik” dedi.
Atanan güvenlik açığı CVE-2023-34362 Cuma günü, yeni bir tehdit aktörü tarafından verilere erişmek ve verileri çalmak için kullanılan bir SQL enjeksiyon güvenlik açığıdır. Oynat veritabanları.
“Kuruluşlar, yüksek hacimli veri içeren, herkesin erişebileceği bilgilere sahip olduğunda, bu kolay bir hedef haline gelir” Erik Nost, Forreste’de kıdemli analistr, e-posta yoluyla söyledi.
Nost, “Bu dosya aktarım protokolü prosedürlerinin birçoğu uzun süredir kullanılıyor ve bu kuruluşlar için işleri her zamanki gibi değiştirmeyi zorlaştırıyor ve saldırganlar da bunu biliyor” dedi.
Binlerce müşteri risk altında
İlerleme, şu anda kaç müşterinin MOVEit kullandığına ilişkin soruları yanıtlamayı reddetti, ancak Censys’teki araştırmacılar onların 3.000’den fazla ana bilgisayar gözlemlendi Pazartesi itibari ile şu anda hizmet veren internete maruz kaldı.
Censys’e göre, finans ve eğitim dahil olmak üzere birden fazla sektördeki kuruluşlar ve federal ve eyalet hükümet kurumları şu anda MOVEit kullanıyor.
Güvenlik açığı, MOVEit’in şirket içi ve bulut tabanlı sürümlerini etkiliyor. Satıcı, Perşembe günü MOVEit’in şirket içi sürümleri için bir yama yayınladı ve aynı gün bulut test sunucularına yama uyguladığını söyledi.
Siber Güvenlik ve Altyapı Güvenliği Dairesi Cuma günü yaptığı açıklamada, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal kuruluş için önemli riskler oluşturur” dedi. uyarı.
Progress, müşterilere en az 30 gün öncesine dayanan uzlaşma göstergelerini kontrol etmelerini tavsiye etti, ancak GreyNoise’daki araştırmacılar, gözlemlenen kötü amaçlı tarama etkinliği 3 Mart gibi erken bir tarihte. Sonuç olarak, siber güvenlik şirketi MOVEit müşterilerini potansiyel olarak kötü amaçlı etkinlikleri en azından Mart başlarına kadar aramaya teşvik etti.
Mandiant’a göre, MOVEit güvenlik açığının bilinen en eski istismarı, 27 Mayıs’taki Anma Günü hafta sonunda meydana geldi ve bu, web kabuklarının konuşlandırılması ve veri hırsızlığıyla sonuçlandı.
“Bazı durumlarda, web kabuklarının konuşlandırılmasından sonraki dakikalar içinde veri hırsızlığı meydana geldi” Mandiant araştırmacılar bir dedi Blog yazısı Cuma.
“Halihazırda birkaç müşteride aktif izinsiz girişleri tespit ediyoruz ve bu kısa vadede daha fazlasını bekliyoruz.” Mandiant Intelligence baş analisti John Hultquistyaptığı açıklamada.
Mandiant, saldırıları, tanımladığı yeni bir tehdit kümesine bağlar. UNC4857, dosya aktarım sistemlerindeki sıfır gün güvenlik açıklarından yararlanan ve veri hırsızlığı için özel web kabukları kullanan bir grup.
Microsoft saldırıları bağladı altında Lace Tempest olarak tanımladığı bir grup olan Clop’a yeni tehdit aktörü adlandırma taksonomisi.
Takip saldırıları bekleniyor
Analistler, araştırmacılar ve tehdit avcılarının tümü, müşterileri potansiyel fidye yazılımı saldırılarını, gaspı ve veri hırsızlığını tahmin etmeleri konusunda uyardı.
Gartner’ın seçkin VP analisti Peter Firstbrook, e-posta yoluyla, “Saldırganlar, aktif olarak, çeşitli kurbanlar arasında geniş ölçekte sömürülebilecek ortak yazılım bileşenlerindeki güvenlik açıklarını arıyorlar” dedi.
Firstbrook, “Dosya aktarımı, satılabilen veya fidye alınabilen kritik bilgilerin deposu olma avantajına sahiptir” dedi.
Nost, dosya aktarım sistemlerinin, tehdit aktörlerinin fidye yazılımı ve gasp gibi diğer saldırıları başlatmak için kullanabileceği “veri hazinelerini” taşıyabileceğini söyledi.
MOVEit’in üst düzeyde denetime tabi sektörlerde müşterileri vardır ve bu da hükümet, finans ve sağlık kuruluşları arasında halihazırda verilebilecek potansiyel zararın bir örneğidir.
“Bu güvenlik açığını özellikle dikkate değer kılan şey, MOVEit’in hükümet, eğitim, tıp ve finans kuruluşları genelinde kullanımının yaygınlığıdır.” Huntress’te ürün mimarı Sharon Martine-posta yoluyla söyledi.
Martin, “Bu, MOVEit Transfer aracılığıyla gönderilen hassas bilgilerin, onu kullanan kuruluşların tehdit aktörlerinin eline geçmesini istemeyeceği anlamına geliyor” dedi.
Progress’in bir sözcüsü, şirketin müşterilerinin güvenliğini çok ciddiye aldığını söyledi.
Sözcü, “Müşterileri korumak için acil önlemler aldık” dedi. “İlk olarak, anında hafifletme için talimatlar sağlamak, ardından güvenlik açığını belirledikten sonraki 48 saat içinde tüm MOVEit Transfer müşterilerine bir yama yayınlamak.”