Clop fidye yazılımı grubu, bir kuruluşu hedeflemek için GoAnywhere MFT güvenlik açığından başarıyla yararlanan tek tehdit aktörü değildir.
Siber güvenlik araştırmacıları At-Bay tarafından keşfedildiği üzere, bilinen fidye yazılımı (yeni sekmede açılır) Tehdit aktörü BlackCat (ALPHV olarak da bilinir), Şubat 2023’te adı açıklanmayan bir ABD işletmesini hedef almak için bu kusuru kullandı.
At-Bay’den Ido Lev, “Son derece aktif BlackCat grubu tarafından bir ABD işletmesine karşı GoAnywhere MFT güvenlik açığının bu son istismarı, düzeltme konusundaki riskleri artırıyor” diye yazıyor. “Güvenlik açığı, siber suçluların nasıl en yaygın veya herkes tarafından bilinen CVE ifşalarının peşine düşmediğinin iyi bir örneği. Riskin en önemli göstergesi, yalnızca güvenlik açığına verilen puan değil, aynı zamanda siber suçlular tarafından istenen bir sonuca ulaşmak için geniş ölçekte ne kadar kolay istismar edilebileceğidir.”
Onlarca firmaya saldırı
GoAnywhere MFT, Fortra tarafından oluşturulmuş ve dünyanın en büyük kuruluşlarından bazıları tarafından kullanılan güvenli bir dosya aktarım hizmetidir.
Bu yılın Şubat ayında, Clop olarak bilinen bir Rus tehdit aktörünün, yüzden fazla kuruluşa sızmak ve hassas verilerini ele geçirmek için artık CVE-2023-0669 olarak izlenen üründeki bir güvenlik açığını kullandığı keşfedildi.
Fortra o sırada “GoAnywhere MFT’de sıfır günlük bir uzaktan kod enjeksiyon istismarı tespit edildi” dedi. “Bu açıktan yararlanmanın saldırı vektörü, uygulamanın yönetim konsoluna erişim gerektirir; bu konsola çoğu durumda yalnızca özel bir şirket ağından, VPN aracılığıyla veya izin verilenler listesindeki IP adreslerinden (örneğin, bulut ortamlarında çalışırken) erişilebilir. Azure veya AWS).”
Ele geçirilen şirketler arasında Hitachi Bank, Hatch Energy, Saks Fifth Avenue, Procter & Gamble ve çok daha fazlası yer alıyor.
Araştırmacılar, bu saldırılara karşı korunmak için GoAywhere MFT kullanıcılarının en son yamayı uyguladığından ve yazılımlarını en az 7.1.2 sürümüne çıkardığından emin olması gerektiğini söylüyor.