Yönetişim ve Risk Yönetimi, Yama Yönetimi, Güvenlik Operasyonları
Fidye Yazılımı Grubunun Toplu Suistimal İddialarından Dolayı En Az 200 Sunucu Hala Savunmasız
Mathew J. Schwartz (euroinfosec) •
18 Aralık 2024
Yazılımdaki kritik güvenlik açıklarını hedef alan toplu bir saldırı uyarılarına rağmen, 200’den fazla Cleo tarafından yönetilen dosya aktarım sunucusu internete açık ve yamasız durumda.
Ayrıca bakınız: Active Directory Masterclass | Bir Saldırgan Gibi Düşünün, Bir Profesyonel Gibi Savun
Siber güvenlik firması Rapid7, “Dosya aktarım yazılımı, rakipler ve özellikle finansal motivasyona sahip tehdit aktörleri için hedef olmaya devam ediyor” dedi. Şirket, 11 Aralık’ta yayımlanan, sürüm 5.8.0.24 olan en son, tam yama uygulanmış yazılım kullanılarak güncellenene kadar, etkilenen yazılımı çevrimdışına alarak “bu tehditle ilgili riski azaltmak için acil eylem” yapılmasını öneriyor.
Rockford, Illinois merkezli Cleo Communications, 4.000 kuruluşun dosya aktarım yazılımını kullandığını söylüyor.
Çarşamba günü, nesnelerin interneti arama motoru Shodan kullanılarak yapılan kapsamlı olmayan bir aramada, çoğunluğu ABD merkezli olmak üzere en az 400 internete açık Cleo MFT sunucusu sayıldı. Bu 400 sunucudan yalnızca 199’u tam yama uygulanmış 5.8.0.24 sürümünü çalıştırıyordu. Geri kalanların 125’i, Cleo’nun bir kusuru düzeltmek için yayınladığı 5.8.0.21 sürümünü çalıştırıyordu, ancak yama sorunu tamamen çözmemiş olabilir. Geriye kalan 76 sunucu, MFT yazılımının şu anda bilinen iki kritik güvenlik açığına sahip eski bir sürümünü çalıştırıyordu.
Clop fidye yazılımı operasyonu bu hafta sızıntı sitesinde, Cleo’nun toplu saldırılarını gerçekleştirdiğini öne süren bir “Yeni Yılınız Kutlu Olsun” mesajı yayınladı. Eğer doğruysa, bu, veri çalan şantajcı grubun, verileri çalmak ve fidye için tutmak amacıyla yaygın olarak kullanılan dosya aktarım yazılımındaki güvenlik açıklarını hedeflediği beşinci sefer olacak.
Cleo yazılımına yönelik kitlesel saldırılar, siber güvenlik firması Huntress’in “tehdit aktörlerinin bu yazılımı topluca kullandığına ve kullanım sonrası faaliyetlerde bulunduğuna dair kanıtları doğrudan gözlemlediği” uyarısı sayesinde ilk kez 9 Aralık’ta gün ışığına çıktı.
Huntress, saldırıların 3 Aralık’ta başladığını ve en az 28 müşterisini hedef aldığını söyledi. Rapid7 ayrıca Arctic Wolf gibi bu zaman diliminde müşterilerine yönelik saldırıların görüldüğünü doğruladı (kaç tane olduğu belirtilmedi). Sophos, 11 Aralık’ta, 6 Aralık’tan itibaren müşteri tabanında 50’den fazla benzersiz ana bilgisayarın hedef alındığını ve “etkilenen müşterilerin çoğunluğunun Kuzey Amerika’da şubesi veya operasyon üssü bulunan perakende kuruluşları olduğunu” söyledi.
Siber güvenlik firması Darktrace Pazartesi günü yaptığı açıklamada, müşterilerinin ortamlarında “olağandışı davranışlarda bulunan” Cleo yazılımının “birden fazla vakasını” gördüğünü söyledi. Bir vakada, Darktrace, diğer firmaların da Cleo hedefleme saldırılarına bağladığı Litvanya merkezli bir IP adresine yaklaşık 500 megabaytın üzerinde veri aktaran bir Cleo sunucusunu tespit ettiğinde, isimsiz bir enerji sektörü müşterisi 8 Aralık’ta saldırıya uğradı.
Darktrace, yaklaşık aynı zamanda, müşterinin ağındaki başka bir cihazın “benzer veri aktarımı ve komut yürütme etkinliği sergilediğini” ve Hollandalı barındırma sağlayıcısı Scalaxy BV tarafından barındırılan farklı bir harici IP adresine SSL yoluyla yaklaşık 600 megabayt gönderdiğini söyledi.
Rapid7, savunmasız Cleo yazılımını kullanan kuruluşların, hem kendilerinin hem de siber güvenlik firması Huntress’in yayınladığı risk göstergeleri ve istismar sonrası faaliyet belirtileri açısından günlüklerini incelemesini ve “en az 3 Aralık’a kadar uzanan şüpheli faaliyetleri” aramasını öneriyor.
Tamamı şirketin VersaLex yazılımını kullanan savunmasız Cleo ürünlerinde iki farklı kusur gün yüzüne çıktı. Cleo’nun web sitesi etkilenen ürünleri şu şekilde tanımlıyor:
- Cleo Harmony: Büyük işletmelere yönelik dosya aktarım sunucusu;
- Cleo VLTrader: “Orta ölçekli işletmelerin ihtiyaçlarını karşılamak üzere tasarlanmış sunucu düzeyinde bir çözüm”;
- Cleo LexiCom: “Wal-Mart, Target, Lowe’s, Meijer, Ordu/Hava Kuvvetleri (AAFES), Dollar General, UCCnet dahil olmak üzere belirli ağlar için önceden yapılandırılmış ana bilgisayarları içeren” büyük ticaret topluluğu ağları” ile iletişim kurmak üzere tasarlanmış masaüstü tabanlı bir istemci uygulaması , Global eXchange Services, IBM Information Exchange ve diğerleri.”
Hedeflenen iki kusurdan Cleo, etkilenen tüm ürünlerin 5.8.0.21 sürümünü yayınlayarak Ekim ayında CVE-2024-50623’ü yamayı tamamladı. Huntress, 9 Aralık’ta aktif saldırılara ilişkin uyarısında Cleo’nun yamasının sorunu tam olarak çözemediğini öne sürdü. Cleo, kusuru ilk olarak siteler arası komut dosyası çalıştırma güvenlik açığı olarak tanımladı ancak güvenlik uyarısını, kusurun aynı zamanda sınırsız dosya yüklemeye de izin verdiğini kabul edecek şekilde revize etti (bkz: Bilgisayar Korsanları Cleo Yazılımını Kullanıyor Sıfır Gün).
10 Aralık’ta Cleo, müşterilerini artık CVE-2024-55956 olarak takip edilen başka bir kusur konusunda uyardı ve aynı sıralarda bir düzeltme yayınladığı görüldü. Bu, üç yazılım parçası için de yeni bir sürüm 5.8.0.24 biçiminde geldi.
Cleo sürüm notlarında, bu güncellemenin “sınırsız dosya yükleme ve üründeki kötü amaçlı ana bilgisayar tanımlarını indirme ve yürütme yeteneğinden yararlanan kritik bir güvenlik açığını giderdiğini” söyledi. “Yamayı uyguladıktan sonra, bu istismarla ilgili başlangıçta bulunan tüm dosyalar için hatalar günlüğe kaydedilir ve bu dosyalar kaldırılır.”
10 Aralık’ta IoT arama motoru Censys, nesnelerin interneti aracılığıyla üç farklı Cleo yazılımı türünün 1.342 örneğini araştırdığını bildirdi; bunların %79’u ABD merkezliydi. Ayrıca %13’ünün Microsoft Azure bulut hizmetiyle ilişkili olduğu ortaya çıktı. O zamanlar hiçbiri henüz tam olarak yamalanmamıştı.
Bazı güvenlik araştırmacıları, saldırıların işleyişindeki bariz benzerlikler göz önüne alındığında, başlangıçta ikinci kusurun önceki kusur için yamayı atlamanın bir yolunu sağladığından şüpheleniyordu. Daha fazla çalışmanın ardından bu değerlendirmeyi revize ettiler. Rapid7, “Özet olarak, bu iki güvenlik açığı (CVE-2024-50623 ve CVE-2024-55956), kimliği doğrulanmamış bir saldırganın rastgele dosyalar yazmasına izin vermesi açısından benzer olsa da, her durumda yararlanma stratejisi çok farklıydı” dedi. güvenlik açığı analizi.
İkinci ve daha güçlü kusur için, “kimliği doğrulanmamış bir kullanıcı, Otomatik Çalıştırma dizininin varsayılan ayarlarından yararlanarak ana bilgisayar sistemine isteğe bağlı Bash veya PowerShell komutlarını içe aktarabilir ve çalıştırabilir” dedi.
Araştırmacılar, Clop’un Cleo’da birden fazla güvenlik açığı keşfetmiş, CVE-2024-50623’ü kullanmaya başlamış ve ardından yama uygulandıktan sonra CVE-2024-55956’yı hedeflemeye geçmiş olabileceğini söyledi (bkz: Yeni Kötü Amaçlı Yazılım Çerçevesi Cleo Dosya Sistemlerini Hedefliyor).
Güvenlik açığından yararlanan saldırganların bıraktığı en az bir veri, Java Arşivi’ydi. .jar Rapid7’nin tehdit analitiği kıdemli direktörü Christiaan Beek, bir blog yazısında, dosyanın uzaktan erişim Truva Atı olarak işlev görecek şekilde tasarlandığını söyledi. “Bu RAT, sistem keşfini, dosya sızdırmayı, komut yürütmeyi ve saldırganın komuta ve kontrol (C2) sunucusuyla şifreli iletişimi kolaylaştırdı” dedi.
Bu veri hırsızlığı saldırılarının kurbanı olmuş olabilecek Cleo kullanan kuruluşların toplam sayısı belirsizliğini koruyor.
Tehdit istihbarat firması Intel 471, Information Security Media Group’a şöyle konuştu: “Clop’un, Cleo platformundaki bazı güvenlik açıkları hakkında önceden bilgi sahibi olması, satıcının herhangi bir kamu güvenliği tavsiyesi yayınlamasından çok önce grubun sistematik olarak ihlal yapmasına ve mağdur kuruluşlardan veri almasına olanak sağlaması makuldür.” . “Grup, kamuoyuna açıklamalarını ve medya katılımını zamanlayarak, muhtemelen mağdurlar üzerindeki baskıyı en üst düzeye çıkarmayı ve bu saldırıların genel etkisini artırmayı amaçlıyor.”