Progress MOVEit Transfer’de yeni ortaya çıkan bir güvenlik açığı, fidye yazılımı çetelerinin geçen yıl farklı bir güvenlik açığı kullanarak BBC ve FBI gibi kuruluşları vuran yüksek profilli saldırılarına ilişkin hafızanın kalıcı olması nedeniyle siber güvenlik uzmanları arasında endişelere yol açtı. Resmi olarak CVE-2024-5806 olarak adlandırılan yeni kimlik doğrulama atlama kusuru, hassas verilere yetkisiz erişime izin verme potansiyeline sahiptir.
Büyük ölçekli kurumsal kullanım için tasarlanan MOVEit Transfer, PCI ve HIPAA gibi düzenlemelere uygun özellikler sunar. SFTP ve HTTPS dahil olmak üzere çeşitli dosya aktarım yöntemleri sunar ve bu da onu birçok kuruluşun veri yönetimi altyapısında kritik bir bileşen haline getirir.
Progress, başlangıçta CVE-2024-5806’nın ayrıntılarını gizli tuttu ve müşterilere ifşa edilmeden önce sistemleri yamalamaları konusunda tavsiyelerde bulundu. 25 Haziran 2024’te Progress, güvenlik açığını resmen kaldırdı ve hem MOVEit Transfer sürüm 2023.0 ve daha yenisini hem de MOVEit Gateway sürüm 2024.0 ve daha yenisini etkilediğini açıkladı.
İlerleme MOVEit Güvenlik Açığı Ayrıntıları
WatchTowr Labs’a, IRC kanalında ‘dav1d_bl41ne’ olarak tanımlanan bir kullanıcı tarafından güvenlik açığının ayrıntılarının gönderildiğini belirten araştırmacılar, bunun alışılmadık bir güvenlik açığı paylaşma yöntemi olduğunu belirttiler. Araştırmacılar, güvenlik açığını çoğaltmak için bir test ortamı kurarak daha fazla araştırma yapmaya karar verdiler.
Test ortamındaki hata ayıklayıcı çıktısı, sunucunun istisnalar attığını ve dosyalara beklenmedik şekillerde erişmeye çalıştığını gösterdi. Daha ayrıntılı bir incelemenin ardından araştırmacılar, kimlik doğrulama sırasında SSH ortak anahtarı yerine geçerli bir dosya yolu sağlanarak güvenlik açığından yararlanılabileceğini keşfettiler. Bu, sunucunun dosyaya erişmeye çalışmasına ve saldırganın sisteme yetkisiz erişim sağlamasına yol açtı.
Araştırmacılar, güvenlik açığından yararlanmak için şu adımları paylaştı:
- Dosya Aktarımı sunucusuna bir ortak anahtar yükleyin.
- Meşru bir genel anahtar sağlamak yerine, kimlik doğrulama isteğini aynı genel anahtarla imzalayarak genel anahtara bir dosya yolu gönderin.
- Anahtar, başarılı oturum açma işlemiyle sunucu tarafından kabul edilecek ve hedef dosyalara erişim sağlanacaktır.
Bu kusur, MOVEit Transfer 2023.0 ve daha yeni sürümlerinin yanı sıra MOVEit Gateway 2024.0 ve sonraki sürümleri de etkiliyor. Progress bunu, SFTP modülünde “Sınırlı senaryolarda Kimlik Doğrulama Baypası”na yol açabilecek bir “Uygunsuz Kimlik Doğrulama güvenlik açığı” olarak tanımlıyor. Sınırlı senaryolarda, CVE-2024-5806 kimlik doğrulama baypasına izin vererek saldırganlara hassas dosyalara yetkisiz erişim sağlama potansiyeli sağlıyor. Güvenlik açığı, yazılımın işletmeler arasında yaygın olarak kullanılması ve APT grupları, fidye yazılımı çeteleri ve diğer kötü niyetli aktörler için birincil hedef haline gelmesi nedeniyle özellikle endişe verici.
Progress, söz konusu açığın istismarının önlenmesi için şu önerileri paylaştı:
- MOVEit Transfer sunucularına genel gelen RDP erişimini engelleyin.
- MOVEit Transfer sunucu(lar)ındaki giden erişimi yalnızca güvenilir uç noktalarla sınırlandırın.
The Shadowserver Foundation’ın X sitesinde yer alan bir gönderiye göre, vakıf, açığın ifşa edilmesinden kısa bir süre sonra bu açığı kullanarak aktif istismar girişimleri gözlemledi.
MOVEit Güvenlik Açığının Sonuçları
Bu güvenlik açığının geçen yılki büyük güvenlik açığından hemen sonra keşfedilmesi, kurumsal ortamlardaki dosya aktarım çözümlerinin güvenliği hakkındaki tartışmaları yeniden alevlendirdi. Hassas dosyalara yetkisiz erişim potansiyeli, MOVEit Transfer’e güvenen çok sayıda kuruluş için geniş kapsamlı sonuçlar doğurabilir.
Güvenlik açığının etkisi tam olarak değerlendirilse de olay, siber güvenlik camiasında sorumlu açıklama uygulamaları hakkında daha fazla tartışmaya yol açtı. Bazıları, etkilenen taraflara erken, özel bildirimlerin hayati önem taşıdığını savunurken, diğerleri yaygın farkındalık ve hızlı eylem sağlamak için daha şeffaf, kamuya açık açıklamaların yapılmasını savunuyor.
Durum geliştikçe, BT yöneticilerinin ve güvenlik uzmanlarının tetikte olmaları, herhangi bir istismar belirtisine karşı izleme yapmaları ve MOVEit Transfer dağıtımlarını korumak için önerilen güvenlik önlemlerini uygulamaları önerilir.