Geçen hafta Progress Software, MOVEit Transfer ürününde ve ilgili MOVEit bulut çözümlerinde kritik bir güvenlik açığı (CVE-2023-34362) bildirdi. 14.06 Haziran'a kadar ültimatom veren APT grubu CLOP, dünya çapında sıklıkla kullanılan yazılıma toplu saldırılar ve veri hırsızlığı gerçekleştirdi.
Adından da anlaşılacağı gibi MOVEit Transfer, dosyaların bir ekip, departman, şirket ve hatta bir tedarik zinciri arasında kolayca depolanmasına ve paylaşılmasına izin veren bir sistemdir. Yazılım AOK tarafından da kullanılır, örneğin. Mevcut durumda, dosyaların bir web tarayıcısı üzerinden paylaşılmasına ve yönetilmesine olanak sağlayan MOVEit'in web tabanlı ön ucunun bir SQL enjeksiyon güvenlik açığına sahip olduğu ortaya çıktı. Bu tür dosya paylaşımı, sürecin genellikle e-posta paylaşımına göre yanlış yönlendirilmiş veya "kayıp" dosyalara daha az eğilimli olduğu düşünüldüğünden çok popülerdir.
İyi ve kötü haberler
Bu durumda iyi haber, şirket güvenlik açığının farkına varır varmaz Progress'in desteklenen tüm MOVEit sürümlerinin yanı sıra bulut tabanlı hizmetine yama uygulaması yapmasıdır. Bulut sürümünü kullanan müşteriler otomatik olarak güncellenir, kendi ağlarında çalışan sürümler aktif olarak yamalanmalıdır. MOVEit müşterilerinin, yamayı yüklemeye EK OLARAK bir gizli tarama çalıştırması gerekir. Tek başına yama yapmak yeterli DEĞİLDİR.
Kötü haber şu ki, bu güvenlik açığı sıfır günlük bir güvenlik açığıydı, yani Progress bunu öğrendi çünkü siber suçlular bunu zaten kullanmıştı. Başka bir deyişle, yama yayınlanmadan önce, MOVEit SQL arka uç veritabanlarına bir dizi olası sonuçla birlikte hileli komutlar enjekte edilmiş olabilir:
- Mevcut verilerin silinmesi: Bir SQL enjeksiyon saldırısının klasik sonucu, büyük ölçekli veri imhasıdır.
- Mevcut verilerin sızması: Saldırganlar, SQL tablolarını silmek yerine kendi sorgularını ekleyebilir ve böylece yalnızca dahili veritabanlarının yapısını öğrenmekle kalmaz, aynı zamanda önemli parçaları da ayıklayabilir ve çalabilir.
- Mevcut verilerin değiştirilmesi: Saldırganlar, verileri çalmak yerine bozmayı veya yok etmeyi seçebilir.
- Kötü amaçlı yazılım da dahil olmak üzere yeni dosyaların yerleştirilmesi: Saldırganlar, sırayla harici sistem komutlarını başlatan ve bir ağ içinde rastgele uzaktan kod yürütülmesine izin veren SQL komutları enjekte edebilir.
Microsoft'un kötü şöhretli CLOP fidye yazılımı çetesi olduğuna (veya ilişkili olduğuna) inandığı bir grup saldırgan, görünüşe göre bu güvenlik açığından etkilenen sunuculara sözde web kabukları enjekte etmek için çoktan yararlandı.
Daha fazla güvenlik için ne yapmalı?
- Bir MOVEit kullanıcısıysanız, yazılımın ağınızdaki tüm örneklerine yama uygulandığından emin olun.
- Şu anda yama uygulayamıyorsanız, MOVEit sunucularınıza giden web tabanlı (HTTP ve HTTPS) arayüzleri yapabilene kadar kapatın. Görünüşe göre bu güvenlik açığı, SFTP gibi diğer erişim yolları aracılığıyla değil, yalnızca MOVEit'in web arayüzü aracılığıyla ortaya çıkıyor.
- Yeni eklenen web sunucusu dosyaları, yeni oluşturulan kullanıcı hesapları ve beklenmedik şekilde büyük veri indirmeleri için günlüklerinizi kontrol edin. Progress'te dosya adları ve aranacak yerlerin yanı sıra aranacak yerlerin bir listesi vardır.
- Bir programcıysanız, girişlerinizi temizleyin.
- Bir SQL programcısıysanız, sorguyu gönderen kişi tarafından kontrol edilen karakterleri içeren sorgu komutları oluşturmak yerine parametreleştirilmiş sorgular kullanın.
Bugüne kadar incelenen web kabuğu tabanlı saldırıların çoğunda değilse de çoğunda Progress, human2.aspx adlı hileli bir web kabuğu dosyasının, muhtemelen .cmdline uzantılı yeni oluşturulmuş kötü amaçlı dosyalarla birlikte bulunabileceğinden şüpheleniyor. Sophos ürünleri, human2.aspx olarak adlandırılmış olsun ya da olmasın, Troj/WebShel-GO olarak bilinen webshell dosyalarını algılar ve engeller.
Ancak unutmamak gerekir ki, eğer diğer saldırganlar yama yayınlanmadan sıfır gün önce bunu bilselerdi, farklı ve daha incelikli komutlar enjekte etmiş olabilirler. Bunlar, yalnızca artık kötü amaçlı yazılım taraması yaparak veya günlüklerde görünebilecek bilinen dosya adlarına bakarak algılanmayabilir.
14.06.2023 tarihine kadar geri sayım devam ediyor
Ölmek CLOP grubu, APT grubu tarafından saldırıya uğrayan tüm şirketlere bir ültimatom verdi.: Firmalar belirli e-posta adreslerine e-posta ile bildirimde bulunmalıdır. Bundan sonra, bir sohbet odasına bağlantı içeren bir e-posta alacaklardı. Orada daha sonra fidye talebini müzakere etmelidirler. Uymayan herkes CLOP tarafından rezil edilecek: başka bir deyişle, önce şirket adı yayınlanacak. Daha sonra, baskıyı artırmak için yakalanan verilerin bazı kısımlarını da yayınlamak istiyorlar.
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.