Progress Software’in MOVEit Transfer yazılımındaki yüksek önemdeki bir güvenlik açığı, siber saldırganların platformun kimlik doğrulama mekanizmalarını aşmasına olanak tanıyabilir ve bu güvenlik açığı, kamuoyuna duyurulduktan yalnızca birkaç saat sonra vahşi ortamda aktif olarak istismar ediliyor.
MOVEit Transfer, büyük ölçekli işletmelerde dosya paylaşımı ve işbirliğine yönelik bir uygulamadır; geçen yıl rezil bir şekilde hedef alındı bir dizi Cl0p fidye yazılımı saldırısı British Airways dahil en az 160 kurbanı etkileyen olay, Maine eyaleti, Siemens, UCLA ve daha fazlası. Kitlesel sömürünün düzeyi, bu yılki sonuçları maddi olarak etkileyecek düzeydeydi “Veri İhlali Araştırmaları Raporu” (DBIR) Verizon’dan.
Yeni hata (CVE-2024-5806CVSS: 7.4), Progress’e göre MOVEit’in SFTP modülünde “sınırlı senaryolarda kimlik doğrulamanın atlanmasına yol açabilecek” uygunsuz bir kimlik doğrulama güvenlik açığıdır. güvenlik danışmanlığı yama bilgilerini de içeren bugünkü sorunla ilgili. MOVEit Transfer’in 2023.0.0 öncesi 2023.0.11, 2023.1.6 öncesi 2023.1.0 ve 2024.0.2 öncesi 2024.0.0 sürümlerini etkiler.
Yöneticiler sorunu derhal düzeltmeli; MOVEit yalnızca geçen yılki olaylardan sonra siber suçluların radar ekranlarında yer almakla kalmıyor, aynı zamanda Fortune 1000 şirketlerindeki dahili dosyalara erişme yeteneği, casusluk odaklı herhangi bir gelişmiş kalıcı tehdit (APT) için cazip bir fırsat. Ve bir rivayete göre Kısa not Kâr amacı gütmeyen Shadowserver Foundation’dan, “güvenlik açığı ayrıntılarının bugün yayınlanmasından çok kısa bir süre sonra Progress MOVEit Transfer CVE-2024-5806 POST /guestaccess.aspx istismar girişimlerini gözlemlemeye başladık.” Aynı zamanda rapor edildi Çevrimiçi ortamda en az 1.800 açıkta bulunan örnek var (ancak bunların hepsi savunmasız değil).
Progress, hatayla ilgili herhangi bir ayrıntı vermedi ancak güvenlik açığını “gerçekten tuhaf” olarak nitelendiren watchTowr’daki araştırmacılar iki saldırı senaryosu belirlemeyi başardı. Bir durumda, bir saldırgan, kötü amaçlı bir SMB sunucusu ve geçerli bir kullanıcı adı (sözlük saldırısı yaklaşımıyla etkinleştirilen) kullanarak “zorlamalı kimlik doğrulama” gerçekleştirebilir.
Daha tehlikeli olan başka bir saldırıda, bir tehdit aktörü sistemdeki herhangi bir kullanıcının kimliğine bürünebilir. “[We can] Oturum açmadan bile SSH genel anahtarımızı sunucuya yükleyin ve ardından bu anahtar materyalini istediğimiz kişi olarak kimlik doğrulaması yapmak için kullanın.” watchTowr’un gönderisi. “Buradan kullanıcının yapabileceği her şeyi yapabiliriz; önceden korunan ve muhtemelen hassas verileri okumak, değiştirmek ve silmek dahil.”