Müşterilerine yönelik artan sayıda fidye yazılımı saldırısına yol açan MOVEit güvenlik açığından yararlanılmasının ardından, bilgisayar korsanlarının elinde başka bir endişenin de istismar edildiği tespit edildi. Ana şirket Progress Software, diğer dosya paylaşım ürünü olan WS_FTP Sunucusu için bu yılın Eylül ayında güncellemeler yayınladı. WS_FTP Sunucusu siber saldırıları şu ana kadar herhangi bir hacker grubu tarafından üstlenilmedi.
Progress Software’in WS_FTP Sunucusu Siber Saldırılarına Neden Olan Güvenlik Açıkları
Progress Software’in WS_FTP Sunucusu Geçici Aktarım Modülü ve WS_FTP Sunucu Yöneticisi arayüzü olmak üzere iki ürünün toplam sekiz güvenlik açığına sahip olduğu tespit edildi. Diğerlerinin yanı sıra, Progress güvenlik açığı CVE-2023-40044’ün CVSS puanı 10’du ve doğası gereği kritik olarak işaretlendi.
Bu kritik güvenlik açığı, Progress Software’in WS_FTP Sunucusu Geçici Aktarım Modülünde bulundu. WS_FTP Sunucusundaki bu kritik güvenlik açığı araştırmacılar tarafından vahşi ortamda istismar edilebilecek şekilde bulundu.
Dosya aktarım platformunun kötüye kullanıldığını doğrulayan Rapid7 raporunda şunlar yazıyordu: “Araştırma ekibimiz .NET seri durumdan çıkarma güvenlik açığı gibi görünen şeyi (CVE-2023-40044) belirledi ve bunun tek bir HTTPS POST isteği ve bir önceden var olan ysoserial.net gadget’ı.”
Araştırmacılar, WS_FTP Sunucusu siber saldırılarını doğrulayan kritik güvenlik açığının sürekli olarak istismar edildiğine dair örnekler buldu. Olaylar 30 Eylül 2023’ten itibaren izlendi. Ad Hoc Transfer modülünün etkin olduğu sürümlerde WS_FTP Sunucusu siber saldırılarının çeşitli örnekleri bulunduğundan, kullanıcıların kuruluş tarafından sunulan düzeltmeleri yüklemesi kritik önem taşıyor.
WS_FTP Sunucusundaki güvenlik açıkları
WS_FTP Sunucusundaki kritik güvenlik açığı, siber suçluların işletim sisteminde uzaktan komut çalıştırmasına olanak tanıyabilir. 8.7.4 ve 8.8.2’den önceki sürümleri etkiler.
Progress ürünlerindeki güvenlik açıkları 27 Eylül 2023’ten itibaren giderilmeye başlandığı için güncellemelerin yüklenmesi önemliydi. Bu, özellikle MOVEit güvenlik açığından yararlanılmasının büyük ölçüde istismar edilmesinden sonra geçerlidir. Aynı şeyin sonuçları, tehlikeye atılan kuruluşların sayısının hızla artmasıyla bugün bile görülüyor.
İlerleme danışma belgesinde “Bu sorunları ele aldık ve müşterilerin bunları düzeltmesi için sürüme özel düzeltmeler sunduk” denildi.
Huntress laboratuvarlarındaki araştırmacıların tespit ettiği bazı Progress Yazılımı güvenlik açıklarından yararlanılması, kimlik doğrulama kontrolleri gerektirmedi ve bu da kritik verilere erişme ve hacklemeyi kolaylaştırdı.
Siber güvenlik araştırmacıları, WS_FTP Sunucusundaki güvenlik açıklarından yararlanıldığını göstermek için kavram kanıtı sağladı. WS_FTP Sunucusu siber saldırılarının kanıtı olarak aşağıdaki güvenlik ihlali göstergelerini buldular:
- 103[.]163[.]187[.]12:8080
- 64[.]227[.]126[.]135
- 86[.]48[.]3[.]172
- 103[.]163[.]187[.]12
- 161[.]35[.]27[.]144
- 162[.]243[.]161[.]105
- C:\Windows\TEMP\zpvmRqTOsP.exe
- C:\Windows\TEMP\ZzPtgYwodVf.exe
Progress, WS_FTP Sunucusu siber saldırılarına karşı korunmak için kullanıcıları en yüksek sürüm olan 8.8.2’ye yükseltmeye çağırdı. İlerleme uyarısı, yamalı sürüme yükseltmenin tek yolunun tam yükleyiciyi kullanmak olduğunu ekledi.
Bu arada, Clop fidye yazılımı grubundaki bilgisayar korsanları şu ana kadar MOVEit güvenlik açığından yararlanan en az 2.309 kuruluşu hedef aldı. Siber Güvenlik Farkındalık Ayı 2023 kampanyasının bir parçası olarak, ülke çapındaki hükümetler dijital varlıklarını güvence altına almak için dört temel adımı belirledi. Bunlardan biri yazılımın en son sürümlerine yükseltilmesini içerir.
Görünüşe göre yazılım yönetimi çağın ihtiyacı. CSAM kampanyasındaki diğer üç adım, hesap giriş bilgilerinin daha güçlü şifrelerle korunmasını ve çok faktörlü kimlik doğrulamanın açılmasını teşvik etti. Sonuncusu kimlik avı e-postalarını tanımak ve raporlamaktı.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Siber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.