Güvenlik araştırmacıları, bilgisayar korsanlarının yeni bir toplu veri sızdırma saldırıları dalgası başlatmak için binlerce kuruluş tarafından kullanılan popüler bir dosya aktarım aracında yeni keşfedilen bir güvenlik açığından yararlanırken yakalanmasının ardından alarm veriyor.
Güvenlik açığı, ABD merkezli Progress Software’in bir yan kuruluşu olan Ipswitch tarafından geliştirilen ve kuruluşların internet üzerinden büyük dosya ve veri kümelerini paylaşmasına olanak tanıyan MOVEit Transfer yönetilen dosya aktarımı (MFT) yazılımını etkiliyor. İlerlemek onaylanmış Çarşamba günü MOVEit Transfer’de “yükseltilmiş ayrıcalıklara ve ortama potansiyel yetkisiz erişime yol açabilecek” bir güvenlik açığı keşfettiğini bildirdi ve kullanıcıları MOVEit Transfer ortamına giden internet trafiğini devre dışı bırakmaya çağırdı.
Yamalar mevcut ve Progress tüm müşterilerini acilen uygula.
ABD siber güvenlik ajansı CISA da zorlamak ABD kuruluşları, Progress’in hafifletme adımlarını izleyecek, gerekli güncellemeleri uygulayacak ve kötü amaçlı etkinlikleri avlayacaktır.
Kurumsal dosya aktarım araçları, bilgisayar korsanları için giderek daha çekici bir hedef haline geldi, çünkü popüler bir kurumsal sistemde bir güvenlik açığı bulunması, birden fazla kurbanın verilerinin çalınmasına izin verebilir.
Progress’in dışarıdan bir halkla ilişkiler ajansı aracılığıyla sözcüsü olan Jocelyn VerVelde, etkilenen dosya aktarım aracını kaç kuruluşun kullandığını söylemeyi reddetti, ancak şirketin web sitesinde yazılımın “dünya çapında binlerce kuruluş” tarafından kullanıldığı belirtiliyor. Herkese açık cihazlar ve veritabanları için bir arama motoru olan Shodan, internette keşfedilebilen ve çoğu Amerika Birleşik Devletleri’nde bulunan 2.500’den fazla MOVEit Transfer sunucusunu ortaya koyuyor. İngiltere, Almanya, Hollanda ve Kanada.
Güvenlik açığı, MOVEit Transfer bulut platformuna güvenen müşterileri de etkiler. buna göre güvenlik araştırmacısı Kevin Beaumont. Beaumont’a göre, açığa çıkan en az bir örnek ABD İç Güvenlik Bakanlığı’na bağlı ve birkaç “büyük bankanın” MOVEIt müşterilerinin de etkilendiğine inanılıyor.
Birkaç güvenlik şirketi, kötüye kullanım kanıtlarını zaten gözlemlediklerini söylüyor.
Mandiant araştırdığını söyledi MOVEit güvenlik açığının kötüye kullanılmasıyla ilgili “birkaç izinsiz giriş”. Mandiant baş teknoloji sorumlusu Charles Carmakal, Mandiant’ın “birden fazla kurbandan veri sızdırıldığına dair kanıt gördüğünü” doğruladı.
Siber güvenlik girişimi Huntress bir açıklamada şunları söyledi: Blog yazısı müşterilerinden birinin “tam bir saldırı zinciri ve tüm eşleşen uzlaşma göstergelerini” gördüğünü söyledi.
Bu arada güvenlik araştırma şirketi Rapid7, “en az dört ayrı olaydan” istismar ve veri hırsızlığı belirtileri gözlemlediğini doğruladı. Rapid7’de güvenlik araştırması üst düzey yöneticisi Caitlin Condon, şirketin saldırganların istismarı otomatikleştirmeye başlamış olabileceğine dair kanıtlar gördüğünü söyledi.
Sömürünün tam olarak ne zaman başladığı belli olmasa da, tehdit istihbaratı girişimi GreyNoise söz konusu 3 Mart gibi erken bir tarihte tarama etkinliğini gözlemledi ve kullanıcıları son 90 gün içinde gerçekleşmiş olabilecek yetkisiz erişim belirtileri için sistemleri incelemeye teşvik ediyor.
MOVEit sunucularının kitlesel istismarından kimin sorumlu olduğu henüz bilinmiyor.
Rapid7’den Condon, TechCrunch’a saldırganın davranışının “hedefli olmaktan çok fırsatçı” göründüğünü söyledi ve “bunun, açık hedeflere ayrım gözetmeksizin bir istismar atan tek bir tehdit aktörünün işi olabilir” dedi.
Bu, bilgisayar korsanları ve şantaj gruplarının son yıllarda kurumsal dosya aktarım sistemlerini hedeflemeye yönelik son çabasıdır.
Ocak ayında, Rusya bağlantılı Clop fidye yazılımı çetesi, bir bilgisayarın kitlesel olarak sömürülmesinin sorumluluğunu üstlendi. Fortra’nın GoAnywhere yönetilen dosya aktarım yazılımındaki güvenlik açığı. Florida merkezli sağlık şirketi de dahil olmak üzere GoAnywhere kullanan 130’dan fazla kuruluş hedef alındı UlusFaydalarısanal terapi sağlayıcısı Parlak çizgive Toronto Şehri.
Clop, 2021’de başka bir popüler dosya aktarım aracına yönelik başka bir yaygın saldırının da arkasındaydı. Morgan StanleyCalifornia Üniversitesi, bakkal devi Kroger ve hukuk firması Jones Day.