Progress Software, MOVEit Transfer uygulamasında yaygın olarak kullanılan bir sıfır gün güvenlik açığını yamaladıktan sadece birkaç gün sonra, şirket, bir güvenlik satıcısının bu hafta bir kod incelemesi sırasında ortaya çıkardığı ek SQL Injection güvenlik açıklarını gidermek için ikinci bir yama yayınladı.
Güvenlik açıkları tüm MOVEit Transfer sürümlerinde mevcuttur ve kimliği doğrulanmamış bir saldırganın MOVEit Transfer veritabanına erişmesine ve içindeki verileri değiştirmesine veya çalmasına izin verebilir. Yeni kusurlara henüz bir CVE atanmadı, ancak yakında bir tane alacak.
Progress, “Soruşturma devam ediyor, ancak şu anda bu yeni keşfedilen güvenlik açıklarından yararlanıldığına dair göstergeler görmedik” dedi.
9 Haziran tarihli bir danışma belgesinde Progress, tehdit aktörlerinin daha fazla saldırıda kusurlardan yararlanma potansiyeline atıfta bulunarak müşterileri yeni yamayı hemen yüklemeye çağırdı. Progress, “Bu yeni keşfedilen güvenlik açıkları, daha önce bildirilen 31 Mayıs 2023’te paylaşılan güvenlik açığından farklıdır.” Dedi. “Tüm MOVEit Transfer müşterileri aşağıdakileri uygulamalıdır: yeni yama, 9 Haziran 2023’te yayınlandı.”
Progress, Huntress’i bir kod incelemesinin parçası olarak güvenlik açıklarını keşfeden biri olarak tanımladı.
İstismarlar Devam Ederken Ek SQL Güvenlik Açığı
Progress Software’in yeni yaması, Cl0p fidye yazılımı grubunun MOVEit Transfer’deki ayrı bir sıfır gün açığından (CVE-2023-34362) geniş çapta yararlandığına dair raporların ortasında geliyor. Tehdit grubu açığı yaklaşık iki yıl önce keşfetti ve dünya çapında binlerce kuruluştan veri çalmak için bundan yararlanıyor. Bilinen kurbanlar arasında BBC, British Airways ve Nova Scotia hükümeti yer alıyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kuruluşları ileriye dönük yaygın etki potansiyeli konusunda uyardı.
Huntress araştırmacıları, MOVEit Transfer uygulamasını analiz ederken güvenlik açıklarını keşfetti. Daha önce, Cl0p tehdit aktörlerinin dünya çapındaki şantaj kampanyasında güvenlik açığından nasıl yararlandığına dair ayrıntılı bir analiz sunmuşlardı.
Bir Huntress sözcüsü, “Huntress, orijinal istismarı konsept kanıtı olarak yeniden oluşturmamızın ve ilk yamanın etkinliğini değerlendirmemizin ardından farklı saldırı vektörlerini ortaya çıkardı” dedi. “Bunlar, ilk yamada ele alınmayan belirgin kusurlar ve bunları, bu ikincil yama sürümünü teşvik ederek İlerleme ekibine sorumlu bir şekilde ifşa ettik.”
Şu anda Huntress, bu yeni CVE’yi çevreleyen herhangi bir yeni istismar gözlemlemedi, diye ekliyor – ancak bu hızla değişebilir.
Ek Dosya Aktarımı CVE: Şimdi Yama Yapın
Progress’e göre, 31 Mayıs 2023 tarihli orijinal sıfır gün hatası için şirketin yamasını halihazırda uygulamış olan kuruluşlar, iyileştirme tavsiyesinde belirtildiği gibi yeni güvenlik açıkları için yamayı hemen uygulayabilir. Henüz ilk kusura karşı yama uygulamamış olan kuruluşlar bunun yerine Progress’in ana hatlarıyla belirttiği alternatif düzeltme ve yama uygulama adımlarını izlemelidir.
İlerleme, MOVEit Cloud’u en son güncellemeyle de otomatik olarak yamaladı, ancak “müşterilerimizin beklenmedik veya olağandışı dosya indirme belirtileri için denetim günlüklerini incelemelerini ve sistem koruma yazılımı günlüklerimizle birlikte erişim günlüklerini ve sistem günlüklerini incelemeye devam etmelerini öneririz. “