Bilgisayar korsanları, kuruluşlardan veri çalmak için MOVEit Transfer dosya aktarım yazılımındaki sıfır gün güvenlik açığından aktif olarak yararlanıyor.
MOVEit Transfer, ABD merkezli Progress Software Corporation’ın bir yan kuruluşu olan Ipswitch tarafından geliştirilen ve kuruluşun SFTP, SCP ve HTTP tabanlı karşıya yüklemeler kullanarak iş ortakları ve müşteriler arasında güvenli dosya aktarımı yapmasına olanak tanıyan bir yönetilen dosya aktarımı (MFT) çözümüdür.
Progress MOVEit Transfer, müşteri tarafından yönetilen şirket içi bir çözüm ve geliştirici tarafından yönetilen bir bulut SaaS platformu olarak sunulur.
Progress’e göre MOVEit, aralarında Chase, Disney, GEICO ve MLB’nin de bulunduğu binlerce işletme tarafından kullanılıyor.
Verileri çalmak için sıfır gün toplu istismarı
BleepingComputer, tehdit aktörlerinin kuruluşlardan toplu veri indirme gerçekleştirmek için MOVEit MFT yazılımındaki sıfır günü kullandığını öğrendi.
İstismarın ne zaman gerçekleştiği ve saldırıların arkasında hangi tehdit aktörlerinin olduğu belli değil, ancak BleepingComputer’a çok sayıda kuruluşun ihlal edildiği ve verilerin çalındığı söylendi.
Dün Progress, müşterileri MOVEit MFT’deki “Kritik” bir güvenlik açığı konusunda uyaran ve bir yama test edilirken hafifletmeler sunan bir güvenlik danışma belgesi yayınladı.
Progress’ten bir güvenlik danışma belgesinde “Progress, MOVEit Transfer’de yükseltilmiş ayrıcalıklara ve ortama olası yetkisiz erişime yol açabilecek bir güvenlik açığı keşfetti” yazıyor.
“MOVEit Transfer müşterisiyseniz, ekibimiz bir yama hazırlarken MOVEit Transfer ortamınızı korumaya yardımcı olmak için aşağıda belirtildiği gibi hemen harekete geçmeniz son derece önemlidir.”
Bir yama test edilirken kullanılamadığı için Progress, MOVEit yöneticilerinin kurulumlarını güvence altına almak için kullanabileceği hafifletmeler yayınladı.
Geliştiriciler, istismarı önlemek için yöneticileri MOVEit sunucusundaki 80 ve 445 numaralı bağlantı noktalarına giden harici trafiği engellemeleri konusunda uyarır.
Progress, bu bağlantı noktalarının engellenmesinin web kullanıcı arabirimine harici erişimi önleyeceği, bazı MOVEit Otomasyon görevlerinin çalışmasını önleyeceği, API’leri engelleyeceği ve Outlook MOVEit eklentisinin çalışmasını önleyeceği konusunda uyarıyor.
Ancak, dosyaları aktarmak için SFTP ve FTP/s protokolleri kullanılmaya devam edebilir.
Geliştiriciler ayrıca yöneticileri ‘c:\MOVEit Transfer\wwwroot\‘ yedeklemeler veya büyük dosya indirmeleri dahil beklenmeyen dosyalar için klasör.
BleepingComputer tarafından öğrenilen bilgilere göre, büyük indirmeler veya beklenmeyen yedeklemeler, tehdit aktörlerinin verileri çaldığının veya çalma sürecinde olduğunun muhtemel göstergeleridir.
Sıfırıncı gün güvenlik açığı hakkında herhangi bir bilgi yayınlanmadı. Bununla birlikte, engellenen bağlantı noktalarına ve olağandışı dosyaları kontrol etmek için belirtilen konuma bağlı olarak, kusur muhtemelen web’e yönelik bir güvenlik açığıdır.
Bir yama yayınlanana kadar, kuruluşların yamayı uygulamadan ve sunucuyu tekrar canlı hale getirmeden önce tüm MOVEit Transferlerini kapatmaları ve kapsamlı bir uzlaşma araştırması yapmaları şiddetle tavsiye edilir.
gasp başlamadı
Progress, güvenlik açığından aktif olarak yararlanıldığını belirtmese de BleepingComputer, sıfır günü kullanarak verileri çalınan çok sayıda kuruluşun farkındadır.
Şu anda, tehdit aktörleri kurbanları şantaj yapmaya başlamadı, bu nedenle saldırıların arkasında kimin olduğu belli değil.
Bununla birlikte, istismar, bir GoAnywhere MFT sıfır-gününün Ocak 2023’teki toplu sömürüsüne ve Accellion FTA sunucularının Aralık 2020 sıfır-gün sömürüsüne çok benzer.
Bu ürünlerin her ikisi de, Clop fidye yazılımı çetesi tarafından verileri çalmak ve kuruluşlara şantaj yapmak için yoğun bir şekilde istismar edilen, yönetilen dosya aktarım platformlarıdır.
BleepingComputer, saldırılar hakkında daha fazla bilgi edinmek için Progress ile iletişime geçti, ancak hemen bir yanıt alınamadı.